SlideShare une entreprise Scribd logo
1  sur  7
Télécharger pour lire hors ligne
Sécurité et confidentialité des données sensibles dans le
cloud computing: une enquête sur les développements
récents
EL HOUDAIGUI Bilal1
et SEKKOURI Salma2
Abstract— Le Cloud Computing est défini comme un
mode de traitement des données du client, dont l’ex-
ploitation s’effectue par Internet, où les ressources sont
partagées, les logiciels et les informations sont fournis
par un prestataire.
Depuis que le Cloud Computing utilise des ressources
distribuées dans des environnements ouverts, il est donc
important d’assurer la sécurité et la confiance pour par-
tager les données pour le développement des applications
du Cloud Computing.
I. INTRODUCTION
Le Cloud Computing est défini comme un mode
de traitement des données du client, dont l’ex-
ploitation s’effectue par Internet, sous la forme de
services fournis par un prestataire. L’informatique
en nuage est une forme particulière de gérance
informatique, dans laquelle l’emplacement et le
fonctionnement du nuage ne sont pas portés à la
connaissance des clients. Il permet l’accès via le
réseau, à la demande et en libre-service, à des res-
sources informatiques virtualisées et mutualisées
généralement facturées à l’usage ; trois types de
services sont proposés (IaaS – Infrastructure as
a Service, PaaS – Platform as a service, SaaS
– Software as a Service), déployés selon quatre
modèles (Cloud privé interne, Cloud privé externe
1
B. EL HOUDAIGUI étudiant en Master Bio-Informatique et
Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences
Appliquées de Tanger
2
S. SEKKOURI étudiante en Master Bio-Informatique et
Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences
Appliquées de Tanger
ou Cloud communautaire, Cloud public, Cloud
hybride) [1].
Dans cet article, nous montrons comment assu-
rer la sécurité des nuages, la confidentialité et la
fiabilité lors du traitement des données sensibles.
Nous allons également présenter les caractéris-
tiques du Cloud Computing, les risques de sécurité
rencontrés, les solutions proposées et la privacy des
données sensibles.
II. MÉCANISME DE VIRTUALISATION
Avant de parler sur le Cloud, on doit introduire
une notion très importante nommée Hyperviseur.
Un hyperviseur est une plate-forme de virtuali-
sation qui permet à plusieurs systèmes d’exploita-
tion de travailler sur une même machine physique
en même temps.
Ils sont classés actuellement en deux catégories
[2] :
Type 1 : C’est un logiciel qui s’exécute directe-
ment sur une plateforme matérielle, il est considéré
comme outil de contrôle de système d’exploitation.
Un système d’exploitation secondaire peut, de ce
fait, être exécuté au-dessus du matériel.
Type 2 : C’est un logiciel qui s’exécute à l’in-
térieur d’un autre système d’exploitation. Un sys-
tème d’exploitation invité s’exécutera donc en troi-
sième niveau au-dessus du matériel. Les systèmes
d’exploitation invités n’ayant pas conscience d’être
virtualisés. Quelques exemples de tels hyperviseurs
sont VMware Server et VirtualBox d’Oracle.
Fig. 1. Les deux types d’hyperviseurs (Source : https://goo.gl/
MhgZWg)
Xen et KVM (Kernel Virtual Machine) sont
deux exemples populaires d’hyperviseur open
source (respectivement de Type 1 et Type 2).
Xen : est une solution libre de virtualisation
permettant de faire tourner plusieurs systèmes
d’exploitation sur une même machine physique. Il
est de type hyperviseur, c’est à dire qu’il vient
s’insérer entre le matériel et le noyau. Xen est
considéré comme une solution à base de para-
virtualisation, car les systèmes invités doivent être
modifiés pour cohabiter.
KVM : Est un projet de virtualisation complète
qui est actuellement en développement pour un
module de para-virtualisation. Il est intégré depuis
le noyau Linux 2.6.20 et permet une virtualisation
matérielle des processeurs. Ainsi, il ne fonctionne
que sur un processeur de type Intel VT ou AMD-V.
III. LES CARACTÉRISTIQUE D’UN CLOUD
A. Les modèles de déploiement
Le Cloud Computing est une solution qui fournit
un espace dans lequel il est possible de placer
virtuellement des infrastructures serveur ou réseau,
des plateformes de développement ou d’exécution
etc, il existe différentes typologies du Cloud [9] :
Le Cloud Privé est la typologie de Cloud la plus
répandu, en 2013, 73% des Clouds déployés dans
les entreprises sont des Clouds privés.
Le Cloud public est accessible par Internet et
géré par un prestataire externe. Il est ouvert au
public ou à de grands groupes industriels. Cette
infrastructure est possédée par une organisation
qui vend des services Cloud. C’est le cas le plus
courant.
Le Cloud hybride ou mixte associe l’utilisation,
pour une même entreprise, d’un Cloud privé et
d’un Cloud public. Ces infrastructures sont liées
entre elles par la même technologie qui autorise la
portabilité des applications et des données.
Le Cloud communautaire est utilisé par plu-
sieurs organisations qui ont des besoins communs.
Ce Cloud est donc plutôt dédié à une commu-
nauté professionnelle spécifique incluant parte-
naires, sous-traitants... pour travailler de manière
collaborative sur un même projet ou Cloud gou-
vernemental dédié aux institutions étatiques.
B. Les niveaux de services
La partie visible du Cloud Computing se décom-
pose en 3 parties [3] :
Saas : Dans la partie Saas (Software as a Ser-
vice) est un produit final qui est exécuté et géré
par le prestataire de services [8] dont on retrouve
des logiciels comme Gmail, Google Document,
YahooMail etc ...
PaaS : La seconde partie, le PaaS (Platform
as a service) consiste à fournir une architecture
composée des librairies et framework nécessaires
à une application ou bien à un pack d’application.
Plusieurs services sont installables sur une pate-
forme, on peut citer par exemple Google Apps.
IaaS : La troisième et dernière partie est l’IaaS
(Infrastructure as a Service). Il s’agit de la location
d’un serveur dédié. On fournit dans ce cas de la
puissance de calcul, de l’espace de stockage et du
réseau. Amazon Web Services est dans ce cas.
Fig. 2. Les modèles de déploiement
C. Avantages et inconvénients
Le cloud computing est généralement associé à
une multitude d’avantages [12] :
L’accessibilité : Les données sont sur un
serveur, consultables à n’importe quel mo-
ment et où que l’on soit via une connexion
Internet.
Partage et travail collaboratif : On peut
également partager nos ressources et per-
mettre ainsi un travail à plusieurs.
Économique : Le prestataire gère complè-
tement les aspects techniques du service et
des coûts engendrés. Il n’y a pas besoin
d’investir en matériel (car on ne paye que
ce qu’on consomme).
Fiabilité : Les services basés sur des infra-
structures performantes possédant des poli-
tiques efficaces de tolérance aux pannes.
Et inconvénients :
Connexion Internet obligatoire : Sans
celle-ci, inutile d’espérer pouvoir accéder
aux ressources.
Transportabilité des données : Les données
sont-elles "prisonnières" du service aux-
quelles elles sont liées ? C’est parfois le cas,
Google Wave en est un exemple.
Sécurité et intégrité des données : En
regroupant des ressources sur Internet on
perd une partie du contrôle sur celles-ci.
Dès lors que des données, même chiffrées,
transitent sur Internet, le risque de piratage
est bien plus présent que sur une utilisation
locale.
Il est donc primordial de prendre conscience des
limites que le Cloud Computing impose.
IV. LES RISQUES DE SÉCURITÉ MAJEURS DU
CLOUD COMPUTING
Plusieurs études menées par des spécialistes
tels que ISACA (Information Systems Audit and
Control Association) et CSA (Cloud Security Al-
liance) ont permis d’identifier douze points qui
constituent les menaces majeures à la sécurité des
données et à celles des applications en cloud [4].
1. L’existence de brèches de sécurité tant sur
l’une des couches logiques du Datacenter
que celles issues d’erreurs humaines.
2. La fragilité dans la gestion des accès et
des identités, bien que certains fournisseurs
renforcent les interfaces d’authentification
avec d’autres moyens tels que les certificats,
les smartcards, la technologie OTP et bien
d’autres.
3. L’utilisation d’API non sécurisées pour l’in-
tégration des applications avec les services
cloud.
4. L’exploit de vulnérabilités des systèmes
d’exploitation sur les serveurs du cloud et
même sur les applications hébergées.
5. Le piratage de compte, qui est un vieux type
d’attaque informatique, vient avec une forte
recrudescence depuis l’avènement d’Internet
et encore celui du cloud computing.
6. Une action malveillante initiée en interne
dans les effectifs du fournisseur. Une per-
sonne malveillante dans l’équipe de gestion
du Datacenter peut facilement nuire à la
confidentialité et l’intégrité des environne-
ments hébergés.
7. Les menaces persistantes avancées (en an-
glais, APT : Advanced Persistent Threats)
qui consistent en une forme d’attaque où
le hacker réussit à installer d’une façon
ou d’une autre un dispositif dans le réseau
interne de l’organisation, à partir duquel il
peut extirper des données importantes ou
confidentielles. C’est une forme d’attaque
difficile à détecter pour un fournisseur de
services cloud.
8. La perte de données qui peut être causée par
une attaque informatique (logique) du Da-
tacenter, une attaque physique (incendie ou
bombardement), une catastrophe naturelle,
ou même simplement à un facteur humain
chez le fournisseur de services, par exemple
en cas de faillite de la société.
9. Les insuffisances dans les stratégies internes
d’adoption ou de passage au cloud. Les
entreprises ou les organisations ne prennent
pas souvent en compte tous les facteurs de
sécurité liés à leur fonctionnement avant de
souscrire à un service cloud. Certaines né-
gligences, tant au niveau du développement
d’application qu’au niveau de l’utilisation
basique, leur sont parfois fatales.
10. Utilisation frauduleuse des technologies
cloud en vue de cacher l’identité et de per-
pétrer des attaques à grande échelle. Géné-
ralement, il s’agit de comptes créés pendant
les périodes d’évaluation (la plupart des FAI
proposent 30 jours d’essai gratuits) ou des
accès achetés frauduleusement.
11. Le déni de service qui est une attaque qui
consiste à rendre indisponible un service par
une consommation abusive des ressources
telles que les processeurs, la mémoire ou le
réseau. L’idée, pour le pirate, c’est de réussir
à surcharger les ressources du Datacenter
en vue d’empêcher d’autres utilisateurs de
profiter des services.
12. Les failles liées à l’hétérogénéité des techno-
logies imbriquées dans l’architecture interne
du cloud, et l’architecture externe d’interfa-
çage avec les utilisateurs.
V. SOLUTIONS PROPOSÉES :
A. Authentification et Autorisation
OAuth2 : OAuth est un protocole libre (Actuel-
lement de version 2.0) qui permet d’autoriser une
application client à utiliser l’API sécurisée d’une
autre application pour le compte d’un utilisateur.
L’intérêt majeur d’OAuth vient du fait que l’uti-
lisateur n’a plus besoin de fournir ses informa-
tions d’identification à une application tierce car
la connexion se passe sur l’application de l’API.
Cela suppose que l’utilisateur lui a à priori fait
confiance [5].
Role-Based Access Control (RBAC) : Fait ré-
férence à la méthode permettant de mettre en place
la gestion des droits d’accès dans une entreprise.
Avec cette méthode, les droits d’accès ne sont pas
attribués au cas par cas en fonction d’un individu,
mais sur la base de rôles RBAC. Ces rôles sont
ensuite à leur tour définis en fonction du service,
du poste, de l’emplacement et du centre de coûts
de l’employé dans l’entreprise. Les rôles RBAC
sont en général consignés et enregistrés dans une
matrice RBAC [6].
MiLAMob : Est un framework de middleware
centré qui simplifie le processus d’authentification
en temps réel. Le middleware utilise la technique
OAuth 2.0 (par exemple Facebook, Google+ et
personnels Login) pour identifier l’utilisateur final
et utilise des jetons de sécurité pour gérer l’au-
thentification fastidieuse avec Amazon S3 pour le
compte de l’utilisateur/demandeur [14].
FermiCloud : Utilise une autre approche pour
l’authentification et l’autorisation, basée sur le
PKI (public key infrastructure) X.509. La PKI, ou
Public Key Infrastructure ou encore Infrastructure
à clé publique permet de sécuriser de façon globale
l’accès à un réseau, à des informations et données.
La PKI est utilisée dans les domaines suivants :
E-mail, e-commerce, VPNs (réseau privé virtuels),
Extranets. Elle permet d’assurer de bout en bout la
sécurisation des accès et de transferts de données.
Plusieurs éléments entrent en jeu dans ce système,
notamment les serveurs de certificats et d’authen-
tification, les signatures électroniques, le cryptage
du traffic internet [23].
B. Identité et gestion d’accès
Shibboleth : Est un logiciel Open Source, qui
établit une relation de confiance entre une entité
bien définie et autre identifiée. Il assure un accès
filtré et sécurisé aux ressources de ces entités
limité uniquement aux membres de ces mêmes
entités. Shibboleth, dans sa version 2, se place ainsi
comme le logiciel Open Source de référence de
fédération d’identité qui supporte la norme SAML
2.0 [15].
SAML (Security Assertion Markup Language) est
un standard définissant un protocole pour échanger
des informations liées à la sécurité, à la fédération
et à la délégation d’identités. Basé sur le langage
XML, SAML a été développé par OASIS [16]
(The Organization for the Advancement of Structu-
red Information Standards, un consortium mondial
qui travaille pour la standardisation de formats de
fichiers ouverts basés notamment sur XML [17]).
Le problème le plus important que SAML tente
de résoudre est celui de l’authentification unique
SSO (Single Sign-On) sur le web. Il s’agit de
permettre à un utilisateur de naviguer sur plusieurs
sites différents en s’authentifiant une seule fois,
sans pour autant que ces sites aient accès à des
informations trop confidentielles.
IBHMCC (identity-based hierarchical model
for cloud computing) : Dans le Cloud Compu-
ting, il est fréquent que les entités communiquent
mutuellement entre eux. Pour parvenir à la sécurité
dans la communication, il est important de propo-
ser un cryptage et régime de signature. Par consé-
quent, en [18] proposent un chiffrement basé sur
l’identité (IBE) et signature identitaire (IBS) pour
les régimes IBHMCC. Dans le cadre identitaire,
tel que proposé par Shamir en 1984 [22], la clé
publique d’un utilisateur est tout simplement son
identité, ce qui simplifie les exigences de PKI [19].
IBE (Identity-Based Encryption) permet à un
expéditeur de chiffrer un message sans accès à
un certificat de clé publique. Cette méthode a de
nombreuses applications pratiques. Par exemple,
un utilisateur peut envoyer un courrier chiffré à
un destinataire, sans exiger une existence d’une
infrastructure à clé publique (PKI) [19].
C. Confidentialité, Intégrité, et disponibilité
Swap and Play : Les hyperviseurs fournissent
les moyens d’exécuter plusieurs machines vir-
tuelles isolées sur le même hôte physique. En
règle générale, la mise à jour des hyperviseurs
nécessite un redémarrage de l’hôte conduisant à
l’interruption des services qui est hautement indé-
sirable, en particulier dans les environnements de
Cloud computing. Néanmoins, les mises à jour de
sécurité doivent être appliquées rapidement pour
réduire le risque d’attaques, exigeant une solution
qui élimine le compromis entre la disponibilité et
les risques de sécurité. La mise à jour en direct, en
général, est très difficile et a été étudié pendant des
décennies. Cependant, toutes les solutions propo-
sées à ce jour nécessitent une modification du flux
de contrôle du logiciel et/ou la cause de la dégra-
dation des performances. De plus, actuellement, il
n’y a pas de solutions pour la mise à jour en direct
des hyperviseurs et tous les principaux produits
(par exemple, Hyper-V, Xen, ESXi) nécessitent
un redémarrage pour la mise à jour, Dans [38],
les auteurs proposent Swap and Play, le premier
mécanisme du mise à jour en direct pour les
hyperviseurs, cette solution est facile à utiliser,
évolutive et, en particulier, déployable dans des
environnements de Cloud computing [21].
D. Surveillance de la sécurité et de réponse aux
incidents
E. Gestion politique de sécurité
A4cloud : a pour but de développer les solutions
pour assurer la responsabilité et la transparence
dans les environnements du Cloud computing.
Les utilisateurs doivent avoir la possibilité de
suivre leur utilisation de données pour savoir com-
ment le fournisseur de Cloud répond à leurs at-
tentes en matière de protection des données. A cet
effet, les fournisseurs de Cloud doivent employer
des solutions qui fournissent aux utilisateurs le
contrôle et la transparence appropriées sur leurs
données [10].
PMaaS est défini comme les capacités fournies
aux clients de gérer les politiques d’accès aux
services et produits en cours d’exécution sur une
infrastructure cloud qui est accessible via des in-
terfaces.
VI. PRIVACY DES DONNÉES SENSIBLES
Le cloud computing introduit de nouveaux
risques, que ce soit pour le partage des respon-
sabilités, la localisation des données ou la mutua-
lisation [13], de même les informations sensibles
dans le contexte du cloud computing englobe les
données à partir d’un large éventail de domaines
et de disciplines [10].
Les données médicales sont le meilleur exemple
qui soulèvent de nombreuses craintes en termes de
sécurité, de respect de la vie privée et de fiabilité.
Bien entendu, le respect de la vie privée est un
aspect crucial pour les fournisseurs de soins de
santé lorsqu’ils décident de mettre en place un
système basé sur le cloud computing [11].
D’une manière générale, le passage au Cloud
computing demande un changement d’approche de
l’entreprise en ce qui concerne ses services infor-
matiques, le passage au Cloud suppose également
une modification des pratiques des utilisateurs :
à titre d’exemple, la question de la sécurité des
moyens d’authentification devient beaucoup plus
cruciale quand les données de l’entreprise sont
accessibles depuis n’importe quel poste connecté
à Internet. Pour le client, le passage au Cloud
demande donc un lourd travail de révision des
procédures internes et de formation du personnel
[13].
VII. CONCLUSION
Le cloud computing est un service auquel les
gens s’abonnent via internet, et qui leur permet de
bénéficier de services sans avoir à investir dans du
nouveau matériel ce qui pose le problème de la
confidentialité du stockage des données.
La sécurité absolue n’existe pas, donc le pro-
blème de sécurité reste le plus souvent un pro-
blème de confiance entre le fournisseur de service
et le consommateur de service. Cette confiance se
traduit par la signature d’un contrat nommé SLA
(Service Level Agreement). Ce contrat précise les
taux de disponibilité du service. En règle générale,
et pour la plupart des fournisseurs, ce taux est
supérieur à 99 %.
REFERENCES
[1] ACP, Analyses et Syntheses, Les risques as-
sociés au Cloud computing, 2013. Disponible
sur : http://www.banque-france.fr/uploads/media/
201307-Risques-associes-au-Cloud-computing_01.pdf
[2] Wikipédia, Hyperviseur. Disponible sur : https://fr.wikipedia.
org/wiki/Hyperviseur
[3] Le cloud computing, Les différents types et niveaux de cloud
computing. Disponible sur : http://www-igm.univ-mlv.fr/~dr/
XPOSE2009/cloudcomputing/types.html
[4] CSA, The Treacherous 12, Cloud Computing Top
Threats in 2016. Disponible sur : https://downloads.
cloudsecurityalliance.org/assets/research/top-threats/
Treacherous-12_Cloud-Computing_Top-Threats.pdf
[5] Hoby RATSITOBAINA, OAuth : Comment ça
marche ?, 2014. Disponible sur : http://blog.netapsys.fr/
oauth-comment-ca-marche/comment-page-1
[6] TOOLS4EVER, Qu’est-ce que le Role Based Access
Control (RBAC) ? Disponible sur : https://www.
tools4ever.fr/logiciel/iam-solution-gestion-des-identites/
quest-ce-que-le-role-based-access-control
[7] Yann Desmarest, Identification et authentification
dans le cloud avec SAML, 2015. Disponible
sur : https://www.e-xpertsolutions.com/e-news/
identification-et-authentification-dans-le-cloud-avec-saml
[8] Systancia, Le Cloud Computing, Les différents modèles et
niveaux de services du Cloud Computing. Disponible sur :
http://www.systancia.com/fr/modeles-du-cloud-computing
[9] wikiversity, Cloud computing et entreprise : Les modèles
de déploiement du Cloud, 2016. Disponible sur : https:
//fr.wikiversity.org/wiki/Cloud_computing_et_entreprise/Les_
mod%C3%A8les_de_d%C3%A9ploiement_du_Cloud
[10] Ali Gholami and Erwin Laure, SECURITY AND PRIVACY
OF SENSITIVE DATA IN CLOUD COMPUTING : A SUR-
VEY OF RECENT DEVELOPMENTS, 2015. Disponible
sur : https://arxiv.org/ftp/arxiv/papers/1601/1601.01498.pdf
[11] Lyndsey Gilpin, Santé : quel Cloud computing pour ce secteur
sensible ?, 2015. Disponible sur : http://goo.gl/alSLqY
[12] ANNA M., Avantages et inconvénients du Cloud Compu-
ting, 2012. Disponible sur : http://www.yeswecloud.fr/cloud/
avantages-et-inconvenients-du-cloud-computing-2-810.html
[13] Bertrand Pailhès et Armand Heslot, INTRODUCTION AU
CLOUD COMPUTING : RISQUES ET ENJEUX POUR LA
VIE PRIVEE, 2012. Disponible sur : http://goo.gl/8NxnKB
[14] Richard K. Lomotey et Ralph Deters, Middleware-Layer for
Authenticating Mobile Consumers of Amazon S3 Data, 2013.
Disponible sur : http://dl.acm.org/citation.cfm?id=2497218
[15] Thierry Albain, Shibboleth : la fédération d’identité en
mode Open Source (par Thierry Albain, SQLI), 2010. Dis-
ponible sur : http://www.journaldunet.com/developpeur/xml/
shibboleth-decryptage.shtml
[16] JANUA, SAML – Fédération d’identités – OpenAM
– Shibboleth. Disponible sur : http://www.janua.fr/
saml-federation-didentites
[17] Wikipédia, Organization for the Advancement of
Structured Information Standards, 2013. Disponible
sur : https://fr.wikipedia.org/wiki/Organization_for_the_
Advancement_of_Structured_Information_Standards
[18] Martin Gilje Jaatun, Cloud Computing First International
Conference, CloudCom 2009 Beijing, China, December
2009 Proceedings ,page 159, 2009. Disponible sur : https:
//books.google.co.ma/books?id=VKHwHChUFtUC&pg=
PR1&lpg=PR1&dq=Cloud+Computing+First+International+
Conference,+CloudCom+2009+Beijing,+China,+December+
2009+Proceedings&source=bl&ots=2zK_t38pxt&sig=
3nHW9BUKYVYSPh3GUNBWW2HECU4&hl=fr&sa=X&
redir_esc=y#v=onepage&q=Cloud%20Computing%20First%
20International%20Conference%2C%20CloudCom%
202009%20Beijing%2C%20China%2C%20December%
202009%20Proceedings&f=false
[19] Amit Sahai et Brent Waters, Fuzzy Identity-Based Encryp-
tion, 2005. Disponible sur : http://link.springer.com/chapter/
10.1007/11426639_27
[20] Eike KILTZ a Gregory NEVEN b , Identity-Based Signatures.
Disponible sur : http://homepage.ruhr-uni-bochum.de/Eike.
Kiltz/papers/ibschapter.pdf
[21] Franz Ferdinand Brasser ; Mihai Bucicoiu ; Ahmad-Reza
Sadeghi, Swap and Play : Live Updating Hypervisors and Its
Application to Xen, 2014. Disponible sur : https://www.trust.
informatik.tu-darmstadt.de/publications/publication-details/
?no_cache=1&tx_bibtex_pi1[pub_id]=TUD-CS-2014-0918
[22] Adi Shamir, IDENTITY-BASED CRYPTOSYSTEMS
AND SIGNATURE SCHEMES, 1984. Disponible
sur : https://discovery.csc.ncsu.edu/Courses/csc774-S08/
reading-assignments/shamir84.pdf
[23] unixtech, C’est quoi la PKI ?. Disponible sur : http://www.
gavage.com/ifpi-belge-poursuit-les-utilisateurs-de-napster

Contenu connexe

Similaire à sécurité dans le cloud computing.pdf

Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdfAnisSalhi3
 
Cloud computing : Cloud sim
Cloud computing : Cloud sim Cloud computing : Cloud sim
Cloud computing : Cloud sim Khalid EDAIG
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Semaweb
 
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...salwa benriyene
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Veille technologique sur le cloud computing
Veille technologique sur le cloud computingVeille technologique sur le cloud computing
Veille technologique sur le cloud computingHanen Bensaad
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
Créer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfCréer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfKhalidKadmiri
 

Similaire à sécurité dans le cloud computing.pdf (20)

Cloud computing
Cloud computing Cloud computing
Cloud computing
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdf
 
Cloud computing : Cloud sim
Cloud computing : Cloud sim Cloud computing : Cloud sim
Cloud computing : Cloud sim
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Le cloud Compting
Le cloud ComptingLe cloud Compting
Le cloud Compting
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...
c13-creer-une-application-cloud-native-resume-theorique-v30-03-2023-6426a74e3...
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Veille technologique sur le cloud computing
Veille technologique sur le cloud computingVeille technologique sur le cloud computing
Veille technologique sur le cloud computing
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Créer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfCréer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdf
 

sécurité dans le cloud computing.pdf

  • 1. Sécurité et confidentialité des données sensibles dans le cloud computing: une enquête sur les développements récents EL HOUDAIGUI Bilal1 et SEKKOURI Salma2 Abstract— Le Cloud Computing est défini comme un mode de traitement des données du client, dont l’ex- ploitation s’effectue par Internet, où les ressources sont partagées, les logiciels et les informations sont fournis par un prestataire. Depuis que le Cloud Computing utilise des ressources distribuées dans des environnements ouverts, il est donc important d’assurer la sécurité et la confiance pour par- tager les données pour le développement des applications du Cloud Computing. I. INTRODUCTION Le Cloud Computing est défini comme un mode de traitement des données du client, dont l’ex- ploitation s’effectue par Internet, sous la forme de services fournis par un prestataire. L’informatique en nuage est une forme particulière de gérance informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. Il permet l’accès via le réseau, à la demande et en libre-service, à des res- sources informatiques virtualisées et mutualisées généralement facturées à l’usage ; trois types de services sont proposés (IaaS – Infrastructure as a Service, PaaS – Platform as a service, SaaS – Software as a Service), déployés selon quatre modèles (Cloud privé interne, Cloud privé externe 1 B. EL HOUDAIGUI étudiant en Master Bio-Informatique et Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences Appliquées de Tanger 2 S. SEKKOURI étudiante en Master Bio-Informatique et Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences Appliquées de Tanger ou Cloud communautaire, Cloud public, Cloud hybride) [1]. Dans cet article, nous montrons comment assu- rer la sécurité des nuages, la confidentialité et la fiabilité lors du traitement des données sensibles. Nous allons également présenter les caractéris- tiques du Cloud Computing, les risques de sécurité rencontrés, les solutions proposées et la privacy des données sensibles. II. MÉCANISME DE VIRTUALISATION Avant de parler sur le Cloud, on doit introduire une notion très importante nommée Hyperviseur. Un hyperviseur est une plate-forme de virtuali- sation qui permet à plusieurs systèmes d’exploita- tion de travailler sur une même machine physique en même temps. Ils sont classés actuellement en deux catégories [2] : Type 1 : C’est un logiciel qui s’exécute directe- ment sur une plateforme matérielle, il est considéré comme outil de contrôle de système d’exploitation. Un système d’exploitation secondaire peut, de ce fait, être exécuté au-dessus du matériel. Type 2 : C’est un logiciel qui s’exécute à l’in- térieur d’un autre système d’exploitation. Un sys- tème d’exploitation invité s’exécutera donc en troi- sième niveau au-dessus du matériel. Les systèmes d’exploitation invités n’ayant pas conscience d’être virtualisés. Quelques exemples de tels hyperviseurs sont VMware Server et VirtualBox d’Oracle.
  • 2. Fig. 1. Les deux types d’hyperviseurs (Source : https://goo.gl/ MhgZWg) Xen et KVM (Kernel Virtual Machine) sont deux exemples populaires d’hyperviseur open source (respectivement de Type 1 et Type 2). Xen : est une solution libre de virtualisation permettant de faire tourner plusieurs systèmes d’exploitation sur une même machine physique. Il est de type hyperviseur, c’est à dire qu’il vient s’insérer entre le matériel et le noyau. Xen est considéré comme une solution à base de para- virtualisation, car les systèmes invités doivent être modifiés pour cohabiter. KVM : Est un projet de virtualisation complète qui est actuellement en développement pour un module de para-virtualisation. Il est intégré depuis le noyau Linux 2.6.20 et permet une virtualisation matérielle des processeurs. Ainsi, il ne fonctionne que sur un processeur de type Intel VT ou AMD-V. III. LES CARACTÉRISTIQUE D’UN CLOUD A. Les modèles de déploiement Le Cloud Computing est une solution qui fournit un espace dans lequel il est possible de placer virtuellement des infrastructures serveur ou réseau, des plateformes de développement ou d’exécution etc, il existe différentes typologies du Cloud [9] : Le Cloud Privé est la typologie de Cloud la plus répandu, en 2013, 73% des Clouds déployés dans les entreprises sont des Clouds privés. Le Cloud public est accessible par Internet et géré par un prestataire externe. Il est ouvert au public ou à de grands groupes industriels. Cette infrastructure est possédée par une organisation qui vend des services Cloud. C’est le cas le plus courant. Le Cloud hybride ou mixte associe l’utilisation, pour une même entreprise, d’un Cloud privé et d’un Cloud public. Ces infrastructures sont liées entre elles par la même technologie qui autorise la portabilité des applications et des données. Le Cloud communautaire est utilisé par plu- sieurs organisations qui ont des besoins communs. Ce Cloud est donc plutôt dédié à une commu- nauté professionnelle spécifique incluant parte- naires, sous-traitants... pour travailler de manière collaborative sur un même projet ou Cloud gou- vernemental dédié aux institutions étatiques. B. Les niveaux de services La partie visible du Cloud Computing se décom- pose en 3 parties [3] : Saas : Dans la partie Saas (Software as a Ser- vice) est un produit final qui est exécuté et géré par le prestataire de services [8] dont on retrouve des logiciels comme Gmail, Google Document, YahooMail etc ... PaaS : La seconde partie, le PaaS (Platform as a service) consiste à fournir une architecture composée des librairies et framework nécessaires à une application ou bien à un pack d’application. Plusieurs services sont installables sur une pate- forme, on peut citer par exemple Google Apps. IaaS : La troisième et dernière partie est l’IaaS (Infrastructure as a Service). Il s’agit de la location d’un serveur dédié. On fournit dans ce cas de la puissance de calcul, de l’espace de stockage et du réseau. Amazon Web Services est dans ce cas.
  • 3. Fig. 2. Les modèles de déploiement C. Avantages et inconvénients Le cloud computing est généralement associé à une multitude d’avantages [12] : L’accessibilité : Les données sont sur un serveur, consultables à n’importe quel mo- ment et où que l’on soit via une connexion Internet. Partage et travail collaboratif : On peut également partager nos ressources et per- mettre ainsi un travail à plusieurs. Économique : Le prestataire gère complè- tement les aspects techniques du service et des coûts engendrés. Il n’y a pas besoin d’investir en matériel (car on ne paye que ce qu’on consomme). Fiabilité : Les services basés sur des infra- structures performantes possédant des poli- tiques efficaces de tolérance aux pannes. Et inconvénients : Connexion Internet obligatoire : Sans celle-ci, inutile d’espérer pouvoir accéder aux ressources. Transportabilité des données : Les données sont-elles "prisonnières" du service aux- quelles elles sont liées ? C’est parfois le cas, Google Wave en est un exemple. Sécurité et intégrité des données : En regroupant des ressources sur Internet on perd une partie du contrôle sur celles-ci. Dès lors que des données, même chiffrées, transitent sur Internet, le risque de piratage est bien plus présent que sur une utilisation locale. Il est donc primordial de prendre conscience des limites que le Cloud Computing impose. IV. LES RISQUES DE SÉCURITÉ MAJEURS DU CLOUD COMPUTING Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Al- liance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud [4]. 1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines. 2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres. 3. L’utilisation d’API non sécurisées pour l’in- tégration des applications avec les services cloud. 4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées. 5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing. 6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une per- sonne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environne- ments hébergés. 7. Les menaces persistantes avancées (en an- glais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où
  • 4. le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud. 8. La perte de données qui peut être causée par une attaque informatique (logique) du Da- tacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société. 9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines né- gligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales. 10. Utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de per- pétrer des attaques à grande échelle. Géné- ralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement. 11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services. 12. Les failles liées à l’hétérogénéité des techno- logies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfa- çage avec les utilisateurs. V. SOLUTIONS PROPOSÉES : A. Authentification et Autorisation OAuth2 : OAuth est un protocole libre (Actuel- lement de version 2.0) qui permet d’autoriser une application client à utiliser l’API sécurisée d’une autre application pour le compte d’un utilisateur. L’intérêt majeur d’OAuth vient du fait que l’uti- lisateur n’a plus besoin de fournir ses informa- tions d’identification à une application tierce car la connexion se passe sur l’application de l’API. Cela suppose que l’utilisateur lui a à priori fait confiance [5]. Role-Based Access Control (RBAC) : Fait ré- férence à la méthode permettant de mettre en place la gestion des droits d’accès dans une entreprise. Avec cette méthode, les droits d’accès ne sont pas attribués au cas par cas en fonction d’un individu, mais sur la base de rôles RBAC. Ces rôles sont ensuite à leur tour définis en fonction du service, du poste, de l’emplacement et du centre de coûts de l’employé dans l’entreprise. Les rôles RBAC sont en général consignés et enregistrés dans une matrice RBAC [6]. MiLAMob : Est un framework de middleware centré qui simplifie le processus d’authentification en temps réel. Le middleware utilise la technique OAuth 2.0 (par exemple Facebook, Google+ et personnels Login) pour identifier l’utilisateur final et utilise des jetons de sécurité pour gérer l’au- thentification fastidieuse avec Amazon S3 pour le compte de l’utilisateur/demandeur [14]. FermiCloud : Utilise une autre approche pour l’authentification et l’autorisation, basée sur le PKI (public key infrastructure) X.509. La PKI, ou Public Key Infrastructure ou encore Infrastructure à clé publique permet de sécuriser de façon globale l’accès à un réseau, à des informations et données. La PKI est utilisée dans les domaines suivants : E-mail, e-commerce, VPNs (réseau privé virtuels), Extranets. Elle permet d’assurer de bout en bout la
  • 5. sécurisation des accès et de transferts de données. Plusieurs éléments entrent en jeu dans ce système, notamment les serveurs de certificats et d’authen- tification, les signatures électroniques, le cryptage du traffic internet [23]. B. Identité et gestion d’accès Shibboleth : Est un logiciel Open Source, qui établit une relation de confiance entre une entité bien définie et autre identifiée. Il assure un accès filtré et sécurisé aux ressources de ces entités limité uniquement aux membres de ces mêmes entités. Shibboleth, dans sa version 2, se place ainsi comme le logiciel Open Source de référence de fédération d’identité qui supporte la norme SAML 2.0 [15]. SAML (Security Assertion Markup Language) est un standard définissant un protocole pour échanger des informations liées à la sécurité, à la fédération et à la délégation d’identités. Basé sur le langage XML, SAML a été développé par OASIS [16] (The Organization for the Advancement of Structu- red Information Standards, un consortium mondial qui travaille pour la standardisation de formats de fichiers ouverts basés notamment sur XML [17]). Le problème le plus important que SAML tente de résoudre est celui de l’authentification unique SSO (Single Sign-On) sur le web. Il s’agit de permettre à un utilisateur de naviguer sur plusieurs sites différents en s’authentifiant une seule fois, sans pour autant que ces sites aient accès à des informations trop confidentielles. IBHMCC (identity-based hierarchical model for cloud computing) : Dans le Cloud Compu- ting, il est fréquent que les entités communiquent mutuellement entre eux. Pour parvenir à la sécurité dans la communication, il est important de propo- ser un cryptage et régime de signature. Par consé- quent, en [18] proposent un chiffrement basé sur l’identité (IBE) et signature identitaire (IBS) pour les régimes IBHMCC. Dans le cadre identitaire, tel que proposé par Shamir en 1984 [22], la clé publique d’un utilisateur est tout simplement son identité, ce qui simplifie les exigences de PKI [19]. IBE (Identity-Based Encryption) permet à un expéditeur de chiffrer un message sans accès à un certificat de clé publique. Cette méthode a de nombreuses applications pratiques. Par exemple, un utilisateur peut envoyer un courrier chiffré à un destinataire, sans exiger une existence d’une infrastructure à clé publique (PKI) [19]. C. Confidentialité, Intégrité, et disponibilité Swap and Play : Les hyperviseurs fournissent les moyens d’exécuter plusieurs machines vir- tuelles isolées sur le même hôte physique. En règle générale, la mise à jour des hyperviseurs nécessite un redémarrage de l’hôte conduisant à l’interruption des services qui est hautement indé- sirable, en particulier dans les environnements de Cloud computing. Néanmoins, les mises à jour de sécurité doivent être appliquées rapidement pour réduire le risque d’attaques, exigeant une solution qui élimine le compromis entre la disponibilité et les risques de sécurité. La mise à jour en direct, en général, est très difficile et a été étudié pendant des décennies. Cependant, toutes les solutions propo- sées à ce jour nécessitent une modification du flux de contrôle du logiciel et/ou la cause de la dégra- dation des performances. De plus, actuellement, il n’y a pas de solutions pour la mise à jour en direct des hyperviseurs et tous les principaux produits (par exemple, Hyper-V, Xen, ESXi) nécessitent un redémarrage pour la mise à jour, Dans [38], les auteurs proposent Swap and Play, le premier mécanisme du mise à jour en direct pour les hyperviseurs, cette solution est facile à utiliser, évolutive et, en particulier, déployable dans des environnements de Cloud computing [21]. D. Surveillance de la sécurité et de réponse aux incidents E. Gestion politique de sécurité A4cloud : a pour but de développer les solutions pour assurer la responsabilité et la transparence
  • 6. dans les environnements du Cloud computing. Les utilisateurs doivent avoir la possibilité de suivre leur utilisation de données pour savoir com- ment le fournisseur de Cloud répond à leurs at- tentes en matière de protection des données. A cet effet, les fournisseurs de Cloud doivent employer des solutions qui fournissent aux utilisateurs le contrôle et la transparence appropriées sur leurs données [10]. PMaaS est défini comme les capacités fournies aux clients de gérer les politiques d’accès aux services et produits en cours d’exécution sur une infrastructure cloud qui est accessible via des in- terfaces. VI. PRIVACY DES DONNÉES SENSIBLES Le cloud computing introduit de nouveaux risques, que ce soit pour le partage des respon- sabilités, la localisation des données ou la mutua- lisation [13], de même les informations sensibles dans le contexte du cloud computing englobe les données à partir d’un large éventail de domaines et de disciplines [10]. Les données médicales sont le meilleur exemple qui soulèvent de nombreuses craintes en termes de sécurité, de respect de la vie privée et de fiabilité. Bien entendu, le respect de la vie privée est un aspect crucial pour les fournisseurs de soins de santé lorsqu’ils décident de mettre en place un système basé sur le cloud computing [11]. D’une manière générale, le passage au Cloud computing demande un changement d’approche de l’entreprise en ce qui concerne ses services infor- matiques, le passage au Cloud suppose également une modification des pratiques des utilisateurs : à titre d’exemple, la question de la sécurité des moyens d’authentification devient beaucoup plus cruciale quand les données de l’entreprise sont accessibles depuis n’importe quel poste connecté à Internet. Pour le client, le passage au Cloud demande donc un lourd travail de révision des procédures internes et de formation du personnel [13]. VII. CONCLUSION Le cloud computing est un service auquel les gens s’abonnent via internet, et qui leur permet de bénéficier de services sans avoir à investir dans du nouveau matériel ce qui pose le problème de la confidentialité du stockage des données. La sécurité absolue n’existe pas, donc le pro- blème de sécurité reste le plus souvent un pro- blème de confiance entre le fournisseur de service et le consommateur de service. Cette confiance se traduit par la signature d’un contrat nommé SLA (Service Level Agreement). Ce contrat précise les taux de disponibilité du service. En règle générale, et pour la plupart des fournisseurs, ce taux est supérieur à 99 %. REFERENCES [1] ACP, Analyses et Syntheses, Les risques as- sociés au Cloud computing, 2013. Disponible sur : http://www.banque-france.fr/uploads/media/ 201307-Risques-associes-au-Cloud-computing_01.pdf [2] Wikipédia, Hyperviseur. Disponible sur : https://fr.wikipedia. org/wiki/Hyperviseur [3] Le cloud computing, Les différents types et niveaux de cloud computing. Disponible sur : http://www-igm.univ-mlv.fr/~dr/ XPOSE2009/cloudcomputing/types.html [4] CSA, The Treacherous 12, Cloud Computing Top Threats in 2016. Disponible sur : https://downloads. cloudsecurityalliance.org/assets/research/top-threats/ Treacherous-12_Cloud-Computing_Top-Threats.pdf [5] Hoby RATSITOBAINA, OAuth : Comment ça marche ?, 2014. Disponible sur : http://blog.netapsys.fr/ oauth-comment-ca-marche/comment-page-1 [6] TOOLS4EVER, Qu’est-ce que le Role Based Access Control (RBAC) ? Disponible sur : https://www. tools4ever.fr/logiciel/iam-solution-gestion-des-identites/ quest-ce-que-le-role-based-access-control [7] Yann Desmarest, Identification et authentification dans le cloud avec SAML, 2015. Disponible sur : https://www.e-xpertsolutions.com/e-news/ identification-et-authentification-dans-le-cloud-avec-saml [8] Systancia, Le Cloud Computing, Les différents modèles et niveaux de services du Cloud Computing. Disponible sur : http://www.systancia.com/fr/modeles-du-cloud-computing [9] wikiversity, Cloud computing et entreprise : Les modèles de déploiement du Cloud, 2016. Disponible sur : https: //fr.wikiversity.org/wiki/Cloud_computing_et_entreprise/Les_ mod%C3%A8les_de_d%C3%A9ploiement_du_Cloud
  • 7. [10] Ali Gholami and Erwin Laure, SECURITY AND PRIVACY OF SENSITIVE DATA IN CLOUD COMPUTING : A SUR- VEY OF RECENT DEVELOPMENTS, 2015. Disponible sur : https://arxiv.org/ftp/arxiv/papers/1601/1601.01498.pdf [11] Lyndsey Gilpin, Santé : quel Cloud computing pour ce secteur sensible ?, 2015. Disponible sur : http://goo.gl/alSLqY [12] ANNA M., Avantages et inconvénients du Cloud Compu- ting, 2012. Disponible sur : http://www.yeswecloud.fr/cloud/ avantages-et-inconvenients-du-cloud-computing-2-810.html [13] Bertrand Pailhès et Armand Heslot, INTRODUCTION AU CLOUD COMPUTING : RISQUES ET ENJEUX POUR LA VIE PRIVEE, 2012. Disponible sur : http://goo.gl/8NxnKB [14] Richard K. Lomotey et Ralph Deters, Middleware-Layer for Authenticating Mobile Consumers of Amazon S3 Data, 2013. Disponible sur : http://dl.acm.org/citation.cfm?id=2497218 [15] Thierry Albain, Shibboleth : la fédération d’identité en mode Open Source (par Thierry Albain, SQLI), 2010. Dis- ponible sur : http://www.journaldunet.com/developpeur/xml/ shibboleth-decryptage.shtml [16] JANUA, SAML – Fédération d’identités – OpenAM – Shibboleth. Disponible sur : http://www.janua.fr/ saml-federation-didentites [17] Wikipédia, Organization for the Advancement of Structured Information Standards, 2013. Disponible sur : https://fr.wikipedia.org/wiki/Organization_for_the_ Advancement_of_Structured_Information_Standards [18] Martin Gilje Jaatun, Cloud Computing First International Conference, CloudCom 2009 Beijing, China, December 2009 Proceedings ,page 159, 2009. Disponible sur : https: //books.google.co.ma/books?id=VKHwHChUFtUC&pg= PR1&lpg=PR1&dq=Cloud+Computing+First+International+ Conference,+CloudCom+2009+Beijing,+China,+December+ 2009+Proceedings&source=bl&ots=2zK_t38pxt&sig= 3nHW9BUKYVYSPh3GUNBWW2HECU4&hl=fr&sa=X& redir_esc=y#v=onepage&q=Cloud%20Computing%20First% 20International%20Conference%2C%20CloudCom% 202009%20Beijing%2C%20China%2C%20December% 202009%20Proceedings&f=false [19] Amit Sahai et Brent Waters, Fuzzy Identity-Based Encryp- tion, 2005. Disponible sur : http://link.springer.com/chapter/ 10.1007/11426639_27 [20] Eike KILTZ a Gregory NEVEN b , Identity-Based Signatures. Disponible sur : http://homepage.ruhr-uni-bochum.de/Eike. Kiltz/papers/ibschapter.pdf [21] Franz Ferdinand Brasser ; Mihai Bucicoiu ; Ahmad-Reza Sadeghi, Swap and Play : Live Updating Hypervisors and Its Application to Xen, 2014. Disponible sur : https://www.trust. informatik.tu-darmstadt.de/publications/publication-details/ ?no_cache=1&tx_bibtex_pi1[pub_id]=TUD-CS-2014-0918 [22] Adi Shamir, IDENTITY-BASED CRYPTOSYSTEMS AND SIGNATURE SCHEMES, 1984. Disponible sur : https://discovery.csc.ncsu.edu/Courses/csc774-S08/ reading-assignments/shamir84.pdf [23] unixtech, C’est quoi la PKI ?. Disponible sur : http://www. gavage.com/ifpi-belge-poursuit-les-utilisateurs-de-napster