LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
Auditer les infrastructures cloud : risques et défis
1. Auditer les
infrastructures cloud :
risques et défis
Sonia KALLEL
Consultante en Gouvernance et Management des
Systèmes d’Information
Business and Information Technology – Tunisia
Conférence PECB INSIGHTS
Paris – 24-26 Octobre 2018
2. 2
PROBLEMATIQUE
L’audit est une bonne pratique et un outil de gouvernance et c’est un moyen
d’amélioration continue.
L’audit permet de vérifier la conformité des système d'information et de
leurs responsables aux exigences techniques , légales, règlementaires ,
contractuelles et statutaires et aux normes de réussite financière de
l'entreprise face à diverses menaces.
Ces objectifs restent toujours valables et même plus pertinents dans le
nouveau modèle IT en cloud pour notamment assurer la protection des
données mais ils nécessitent une adaptation car le Cloud perturbe la
prévisibilité associée aux architectures informatiques traditionnelles, aux
contrôles de sécurité et aux procédures d'audit habituelles et pose de
nouveaux défis aux professionnels de l'audit.
Dans cette présentation, nous allons parler des risques potentiels propres
aux infrastructures du cloud et aux défis vécus par les auditeurs, présenter
des approches d'audit spécifiques au Cloud et lister quelques
recommandations d’audit pour garantir de meilleures gouvernance et
gestion du cloud.
3. 3
Quelques définitions ….
Le Cloud Computing ou encore Cloud ou l’informatique dans les nuages,
n’est pas une nouvelle technologie, mais c’est une nouvelle façon de délivrer
les ressources informatiques et les services qui dérive du modèle
d’outsourcing.
Le cloud computing est considéré comme un changement significatif de
la plate-forme dans laquelle les services métier sont traduits, utilisés et
gérés. Beaucoup considèrent qu'il s'agit d'un changement informatique aussi
important que l'avènement de l'ordinateur personnel (PC) ou de l'accès à
Internet.
Plusieurs définitions ont été avancées pour décrire le cloud computing mais
d’une façon générale
« L’informatique dans les nuages est un modèle permettant d’établir un
accès par l’internet ou des réseaux privés à un réservoir partagé de
ressources informatiques configurables
(réseau, serveurs, stockage, applications ) et de services qui peuvent
être rapidement mobilisés et mis à disposition en minimisant les efforts de
gestion ou les contacts avec le fournisseur de service et en permettant
l’attribution des services à la demande et le paiement en fonction de
l’utilisation»
5. 5
Caractéristiques Essentielles du Cloud
Computing
Le Cloud consiste à mutualiser des ressources
informatiques entre plusieurs utilisateurs;
Il permet au client d’accéder à son espace loué par un réseau
de type Internet sans préoccupation matérielle ni logicielle;
L’accès aux ressources se fait en libre service et à la
demande, à des conditions contractuelles déterminées à
l’avance en terme de performance, de sécurité, de coût;
L’avantage de l’accès « à la demande » : un prix adapté à la
consommation réelle du client utilisateur et une optimisation
de la consommation (élasticité en fonction du volume des
besoins à un moment précis);
Le cloud offre des moyens et outils pour gérer , superviser,
contrôler et générer des rapports sur l’utilisation.
6. 6
Trois principaux types de services Cloud
IaaS: infrastructure as a Service
: Le fournisseur de Cloud fournit
l’infrastructure hébergée (l’espace
de stockage, les serveurs,…) qui
fera fonctionner la plate forme et
les applications de l’entreprise,
pendant que l’entreprise contrôle le
système d’exploitation et les
applications installées.
Amazon EC2, Windows AzurePaaS : Platform as a Service : Le
fournisseur de Cloud fournit la totalité de
l’environnement fonctionnel de la
plateforme. Il ajoute une couche sur
l’IaaS en fournissant la capacité de
déployer des applications sur une
infrastructure en nuage. Il ne reste plus à
l’entreprise qu’à maintenir ses
applications.
Windows Azure, Google App Engine,
SaaS : Software as a Service : le
fournisseur de Cloud fournit, en plus
de tout le reste, les applications des
entreprises (CRM, Messagerie,
ERP…). L’entreprise a seulement le
rôle du client/utilisateur
Google Apps, Microsoft Office 365.
12. 12
Accès au Cloud
le client loue un droit d’accès
et d’utilisation du système
informatique auprès du
fournisseur.
Le client dispose ainsi d’un
accès à distance à des
applications sur un serveur
extérieur, ce qui le dispense
d’acquérir lui-même
l’infrastructure informatique
nécessaire, les licences
d’utilisation de progiciels etc.
13. 13
Les Entreprises et le Cloud
Parmi les multiples évolutions de l’informatique, des modèles
d’organisation et d’exploitation des technologies , on parle du Cloud
Computing .
L’épanouissement du cloud a bénéficié de la convergence de plusieurs
phénomènes dont,
l’extension considérable et la multiplication de la puissance des
équipements informatique,
la numérisation/digitalisation
la virtualisation ( base du cloud)
la prolifération et la diversification des logiciels et
la transformation du mode d’usage ou de consommation des entreprises
et des particuliers (Internet, e-services)
Pour rester compétitives et bénéficier d’une plus grande agilité
d’organisation et de prise de décision, les entreprises tirent profit
aujourd’hui des multiples possibilités offertes par le Cloud à travers le
réseau internet.
14. 14
Pourquoi partir dans le cloud ?
Les stratégies de cloud améliorent l’efficacité et la flexibilité de
l’entreprise,
Le cloud permet d’offrir des services plus innovants et
compétitifs,
Le cloud réduit les coûts globaux d’exploitation.
Comme tout investissement, les projets de cloud doivent être
conduits par le conseil d’administration/ haute direction afin de
garantir la création de valeur et l’optimisation du risque !!!
C'est une décision stratégique basée sur l’évaluation des
avantages plutôt qu'une décision purement
technologique
Il s’agit de remplacer les actions classiques de
configuration, de mise en œuvre et de maintenance des
applications internes par la mise en œuvre d’une
stratégie pour le cloud qui satisfait les besoins de
l'entreprise
15. 15
Avantages du Cloud
Gagner un avantage concurrentiel et pénétrer de nouveaux
marchés,
Dans certains pays , gagner un avantage fiscal qui permet de réduire
les impôts sur le résultat
Accroître la productivité et réduire la propriété et la maintenance du
matériel et des logiciels, ce qui permet aux organisations de se
concentrer sur leurs stratégies et leurs points forts et de gagner sur le
coût de la redondance
Améliorer les produits et services existants, fidéliser les clients
actuels et ramener de nouveaux clients
Développer des produits et services impossibles à élaborer sans
les services du cloud et s’affranchir des barrières géographiques.
Répondre au besoin de mobilité et d’accès à distance
Ne plus s’occuper de la gestion du centre de données ni du stockage
16. 16
Avantages du Cloud
Consommer moins d'énergie et contribuer au green IT
Mettre en place et mettre à niveau une infrastructure informatique même
en cas de budget informatique limité
Minimiser les durées de mise en place de l'infrastructure informatique en
profitant des techniques et des avantages de la virtualisation et du savoir
faire des fournisseurs de cloud
Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer
les demandes de pointe en investissant dans du matériel et des logiciels
supplémentaires sous-utilisés dans les périodes creuses.
Réaliser des économies potentiellement importantes en permettant aux
entreprises de maximiser l'informatique dynamique sur une base de
paiement à l'utilisation (éviter les frais fixes et payer par utilisateur/par
transaction)
Aligner rapidement la technologie de l’information sur les stratégies
commerciales grâce à ce provisionnement à la demande
18. 18
Grâce au Cloud, Les données sont désormais accessibles partout et à tous, sans
limitation de moyen et de stockage et ceci à moindre frais. Elles deviennent encore
plus importantes et représentent un véritable gisement de valeur pour les
entreprises.
!!! Le déplacement des données, systèmes et
services vers le cloud expose les entreprises à
de grands risques/ défis en matière de sécurité ,
d’audit et de conformité.
Est-ce que l’accroissement des risques ne va
pas peser plus lourd que les résultats
positifs du cloud , même s’ils sont bien réels
?
Quelle assurance y a t-il que les plans du
management vont permettre d’obtenir ces
résultats ?
Comment le monde de la sécurité, de l’audit
et de la conformité des systèmes
d’information doit évoluer dans les
environnements Cloud ?
19. 19
Risques et Défis de mise en oeuvre du
Cloud
Le cloud change la nature de certains risques qui existaient déjà
dans un environnement traditionnel mais qui peuvent augmenter ou
diminuer suite au passage dans le cloud
Le cloud conduit aussi à de nouveaux risques , tant du côté du client
que du côté du fournisseur, car il bouleverse la prédictibilité
associée aux architectures informatiques traditionnelles , aux
contrôles de sécurité et aux procédures d’audit habituelles –
Le Cloud pose ainsi de nouveaux défis aux
professionnels de la sécurité, de la conformité
et de l’audit des systèmes d’information qui sont
chargés de protéger les données de l’entreprise
ainsi que les ressources informatiques
tout en s’assurant de la conformité des
mesures de sécurité.
20. 20
Risques Associés au Cloud
Les risques du Cloud sont associés à plusieurs facteurs dont :
la technologie et les contrôles de sécurité;
les contraintes légales , règlementaires et contractuelles;
le modèle de déploiement et la répartition des tâches avec les tierces
parties;
le processus d’achat et son impact sur la gouvernance
Les risques changent en fonction du modèle Cloud choisi - IaaS, PaaS et
SaaS - et du mode de déploiement - public ou privé et dépendent des
menaces et des vulnérabilités de l’environnement –
La sécurité des actifs et la protection des données sensibles sont
souvent vues comme des questions cruciales, voire des obstacles à
l’adoption de services d’informatique en nuage.
Hormis les risques liés à la technologie et à la sécurité, il existe également
un grand nombre d'autres problèmes à prendre en compte lors de la
transition vers le nuage, tels que les problèmes réglementaires, juridiques
et liés à la conformité.
24. 24
Risques Associés à la Sécurité Technique
Processus de gestion des accès peut être défectueux ou vulnérable
(infrastructure et application, cloud public) : Accès à des données non autorisées et
Visibilité de certains actifs (par exemple, les tables de routage, les adresses MAC,
les adresses IP internes, le trafic LAN) par d'autres entités dans le même cloud et
leur utilisation d’une manière malveillante.
Allocation dynamique des ressources: Visibilité de données sensibles aux autres
locataires . Cela fait référence aux données qui sont stockées dans l'espace
mémoire ou l'espace disque et qui peuvent être récupérées par d'autres entités
partageant le cloud ( concurrents)
Présence de vulnérabilités techniques au niveau des hyperviseurs, des
navigateurs , des applications et des services web : Les infrastructures Cloud sont la
cible d’attaques par des pirates et malveillants profitant de ces vulnérabilités pour
rendre indisponibles les systèmes et / ou réduire la protection des données – un
pirate qui parvient à identifier une seule vulnérabilité peut compromettre un grand
nombre de systèmes
Le réseau INTERNET n’est pas sécurisé : exposition des utilisateurs du cloud
public à la possibilité de cyber attaques et de violation de sécurité des données.
Interface de gestion de la virtualisation non sécurisée / Défaut de bonne
isolation
25. 25
Risques Associés à la Sécurité
Organisationnelle
Non alignement de la stratégie de sécurité du fournisseur
sur la stratégie de sécurité de l'entreprise : les contrôles de
sécurité mis en place par le fournisseur pour prévenir les attaques ou manquements de
sécurité doivent respecter les politiques de sécurité de l’entreprise cliente.
– Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer
que les applications utilisées répondent à ses exigences de sécurité pour réduire le
risque de divulgation et d’altération.
– Exemple : Les Clouds communautaires partagent des ressources entre différentes
entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain
niveau de confiance mutuelle. Cette confiance doit être régulée plus faible» du groupe
pourrait mettre en danger toutes les entités du groupe par une politique de sécurité
commune. Sinon, une attaque sur le «maillon le plus faible va toucher toute la
communauté.
– Exemple : Les données sont disséminées partout et nécessitent une protection
supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin
supplémentaire de cryptage , un besoin supplémentaire de gestion des identités et
des informations d’identification et une nécessité de Journalisation
26. 26
Risques Associés à la Sécurité
Organisationnelle
Mauvaise Gestion de la fin de service : Perte de disponibilité ou reprise
partielle / perte de données ou difficulté de récupérer toutes ses données
dans le délai spécifié
En cas de migration de l'entreprise d'un fournisseur de services vers un
autre ou le retour en interne des services
En cas d’échec ou de faillite du fournisseur , ou de crise de confiance
dans la situation financière du fournisseur ou s’il fait face à une action
en justice ou s’il est la cible potentielle d'une acquisition avec la
probabilité de changements soudains dans ses politiques et les
accords mis en place.
Non disponibilité des compétences nécessaires : pour soutenir et
sécuriser les solutions de cloud
Résistance Culturelle et IT à l’adoption du cloud : source de
nonchalance et parfois de malveillance qui entraine la perte des données
ou l’arrêt des services
27. 27
Risques Associés à la Conformité
Situations de non respect de la conformité
1- Les données, systèmes et services échappent de plus en plus au contrôle
des services informatiques centralisés, ce qui représente un risque
considérable pour la sécurité des données sensibles et peut nuire à la
capacité de l’entreprise à maintenir sa conformité aux réglementations
sectorielles et aux stratégies de sécurité internes.
2- Les services achetés individuellement ( et éventuellement sans vérification
profonde au préalable) peuvent entrer en conflit avec l’existant et menacer la
conformité technique du client avec les stratégies technologiques en
place et même sa conformité avec les réglementations légales et
règlementaires (portabilité et protection des données, copyright , application
des lois, responsabilité,..)
3- L'emplacement de l'installation de traitement peut changer en fonction de
l'équilibrage de la charge : Si le fournisseur Cloud ne peut pas assurer à son
client l'endroit où les données sont hébergées , ceci peut toucher à sa
conformité à certaines exigences légales et règlementaires.
28. 28
Risques Associés à la Conformité
4- Insuffisance de transparence de la part des prestataires de Cloud
quant aux conditions de réalisation des prestations, notamment sur la
sécurité et sur la question de savoir si les données du client sont
transférées à l’étranger, et plus précisément à destination de quels
pays entraine le risque de non respect de la confidentialité des flux
transfrontalier d'informations personnelles identifiables (PII)
• augmente la complexité de la vérification de la conformité
• et rend plus difficile le respect des directives et lois sur la vie
privée et sur la protection des données et l'entreprise peut faire
l'objet de poursuites et d'amendes pour non-conformité.
5- Non-conformité du fournisseur : entraine la non-conformité du
client car le client doit imposer à son fournisseur toutes les
exigences légales ou réglementaires qui s'appliquent à lui
30. 30
Risques Associés à la
Cohabitation/Colocation
Accès ( physique ou logique) d’un tiers à des informations sensibles
(éléments de propriété intellectuelle, secrets commerciaux, données de santé)
: risque de compromettre la confidentialité.
Partage physique et logique des locaux et des équipements : le risque de
mélanger des données sensibles du client avec les données d’autres clients du cloud,
notamment celles des concurrents et de compromettre la confidentialité,
L’exécution des audits réguliers de sécurité et des investigations afin
d'évaluer les mesures de sécurité du fournisseur : risque de violer les obligations
contractuelles des fournisseurs envers leurs autres clients. En effet, ces actions
nécessitent un accès étendu aux capacités d'infrastructure et de surveillance du
fournisseur , qui sont souvent partagées avec ses autres clients et peuvent
compromettre la sécurité des données de ses derniers.
31. 31
Risques Associés à la Sous-
traitance/Externalisation
La dépendance au fournisseur : entraine des problèmes de disponibilité et de
qualité des services et des données. La renommée, l’historique et la viabilité des
fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être
exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des
garanties suffisantes.
Choix du fournisseur : Les entreprises doivent pouvoir choisir un fournisseur de
services de cloud capable de satisfaire aux exigences en matière de conformité et
d'offrir des preuves irréfutables de sa conformité (certifications par des auditeurs tierce
partie)
Résistance des fournisseurs aux audits
Modèle standard de sécurité du fournisseur : Les infrastructures de Cloud
ont généralement une architecture de sécurité unique avec des modèles et standards
de sécurité non encore matures alors que les clients peuvent avoir des demandes
différentes.
Manque de contrôle des versions SaaS en mode Public
32. 32
Risques Associés à la Sous-
traitance/Externalisation
Manque de contrôle directe et de visibilité
- Il est probable que l’entreprise ait peu de connaissances ou de « visibilité » sur les
personnes, les processus et la technologie soutenant ses actifs informationnels dans le
cloud.
- Les entreprises peuvent/doivent abandonner voire déléguer le contrôle directe
de tout système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs
de services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur la
protection de la vie privée et par rapport aux responsabilités (Qui est responsable et de
quoi en cas de brèche de sécurité )
• Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à des
lois différentes dans les pays d'accueil et qui peuvent mettre les données en
danger surtout que avec l’ambiguité légale et règlementaire , la jurisprudence
est très mince concernant les responsabilités en matière de cloud
• Le fournisseur de cloud prend souvent la responsabilité de la
manipulation des informations, un des actifs primordiaux de l’entreprise. S’il
n’est pas capable d’assumer les niveaux de services établis, la confidentialité ,
la disponibilité et l’intégrité risquent d’être compromises, ce qui perturbe
gravement les opérations de l’entreprise.
33. 33
Risques Associés à la Sous-
traitance/Externalisation
Propriété de l’actif : Passer au cloud implique que les actifs informationnels
de l’entreprise pourraient être « gérés » par le fournisseur.
Tout actif informationnel (données, application ou processus) migré vers un
fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction
des conditions du contrat.
Ainsi, l'entreprise peut perdre des données sensibles ou peut les voir
divulguées parce que l'entreprise n'est plus le seul propriétaire légal de l'actif.
En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par
contrat) à payer des frais pour récupérer ses propres actifs.
En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner une
confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est
nécessaire de récupérer des informations, cela peut générer des retards
En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide
d'outils assurant un effacement complet pour empêcher la divulgation
34. 34
Risques Associés au Processus d’Achat
L’entreprise devient vulnérable et perd sa gouvernance si elle
ne met pas en place une gestion et une maintenance plus
transparentes et vérifiables.
Situation :
• Les entreprises, en particulier lorsque elles sont confrontées à des délais urgents
qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent
être mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs
de services en cloud.
• Facilité d’accroître la capacité ou de demander des services supplémentaires via un
simple appel téléphonique.
Conséquences :
• Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en
place des services sans passer par les processus d’approvisionnement nécessaires
à une bonne gouvernance.
• Il est également possible d’outrepasser les autorisations relatives au budget, les
processus de vérification des changements, les contrôles de protection de
l’information et d’autres processus de supervision, ce qui peut empêcher de se
conformer aux règles internes.
35. 35
Risques Associés aux contrats
La conciliation entre les avantages qu’offre le cloud computing et les inconvénients qu’il
représente réside dans la relation formée entre le client et le prestataire et l’équilibre contractuel
entre les deux.
Risque de Non maitrise du contenu des contrats et SLA
Qui est le Propriétaire des données ?
Que se passe-t-il à la fin du contrat?
Performance (Temps de réponse)
Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont elles
lisibles?
Déclassement de matériel
Clause d’Audit
CAPEX vs OPEX (coûts fixes vs coûts variables)
Les modes de facturation proposés sont parfois « flou », et dépendent de plusieurs
paramètres : volumétrie, le coût de production ou de mise à disposition, et enfin le tarif
locatif du service.
En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le fournisseur
(propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se retrouver lié par ses
clauses qui ne lui laissent pas la possibilité de négocier.
En Cloud Privé : les organismes spécialisés et les entreprises grands comptes établissent avec
le fournisseur un contrat personnalisé qui offre des services adaptés à leurs besoins et qui
prévient les risques et évite les inconvénients qui peuvent résulter du service offert.
36. 36
Contrat du Cloud
Un contrat Cloud doit contenir un minimum de clauses qui
assurent au client
un recours juridique plus efficace en cas de promesses non tenues ou de
difficultés dans l’exécution
L’interdiction de la cession du contrat par le fournisseur sans justifications et
préavis
La connaissance et l’acceptation par le client de la chaîne des intervenants
Un droit de sortie du contrat sans pénalités en cas de changement de majorité
ou de contrôle du fournisseur
Que les données à caractère personnel restent dans le pays du client ( le cas
échéant)
Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur
Un droit de restitution ou de destruction des données sans délai
supplémentaire et la connaissance de la procédure de restitution des données
(délai, format de restitution, coût etc. à la fin du contrat
37. 37
Risques du Cloud : Facteur du risque et
Conséquences en IaaS
Facteur Indisponibilité Perte/Vol Divulgation
Évolutivité /élasticité X Decreasing
Récupération après sinistre et
sauvegarde
X X Decreasing
Gestion des patchs X X X Decreasing
Exigences transfrontalières légales X Increasing
Locations multiples et échec d'isolation X X Increasing
Manque de visibilité entourant les
mesures de sécurité techniques en
place
X X X Increasing
Absence de Plan de Reprise après
sinistre et de sauvegarde appropriés
X X Increasing
Sécurité Physique X X X Increasing
Déplacement / élimination des données X Increasing
Infrastructure de délocalisation X X X Increasing
Maintenance de la sécurité des VM X X X Increasing
Authentification du fournisseur de cloud X X X Increasing
38. 38
Facteur Indisponibilité Perte/Vol Divulgation
Temps de développement
court
X X X Decreasing
Alignement des
applications avec la
plateforme du fournisseur
X X X Increasing
Vulnérabilités liées à
l’architecture orientée
services
X X X Increasing
Arrêt des applications en
fin de service
X X Increasing
Risques du Cloud : Facteur du risque et
conséquences en PaaS
39. 39
Risques du Cloud : Facteur du risque et
conséquences en SaaS
Facteur Indisponibilité Perte/Vol Divulgation
Sécurité améliorée X X X Decreasing
Gestion des correctifs d'application X X Decreasing
Propriété des données X X X Increasing
Élimination des données X X Increasing
Manque de visibilité dans le cycle de
vie de développement SDLC
X X X Increasing
Gestion des identités et des accès
( IAM)
X X Increasing
Stratégie de sortie ou de retour en
interne
X X Increasing
Plus large exposition des applications X X X Increasing
Facilité de signature des contrats de
type SaaS
X X X Increasing
Manque de contrôle sur le processus
de mise en production
X X Increasing
Vulnérabilités liées au navigateur X X Increasing
40. 40
Risques du Cloud : Facteur du risque et
conséquences en Cloud Publique
Facteur Indisponibilité Perte/Vol Divulgation
Réputation publique X X X Decreasing
Partage complet du
nuage (mise en
commun des données)
X X X Increasing
Dommage indirect X X X Increasing
Dans une infrastructure informatique en nuage public, le fournisseur
d’informatique en nuage partage l’infrastructure et les ressources entre
plusieurs entreprises et personnes non reliées entre elles.
Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure
entière présenterait le risque de faire défaut, de se faire voler ou d’être
saisie (pour des raisons d’enquête), ceci incluant les services utilisés par
d’autres entreprises
Il est important lors du processus de décision de bien considérer quels actifs
peuvent aller sur une infrastructure informatique en nuage publique et
lesquels ne le peuvent pas.
41. 41
Risques du Cloud : Facteur du risque et
conséquences en Cloud Communautaire
Facteur Indisponibilité Perte/Vol Divulgation
Même groupe d'entités X X X Decreasing
Accès dédié à la
communauté
X X X Decreasing
Partage du nuage X X X Increasing
Dans l’informatique en nuage communautaire, les services sont déployés et
utilisés par des clients qui nécessitent un environnement avec un niveau de
« confiance » sensiblement équivalent.
Dans certains cas, les entités possèdent la même politique de sécurité
(renforçant ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de
stratégie ou de politique commune.
42. 42
Risques du Cloud : Facteur du risque et
conséquences en Cloud Privé
Facteur Indisponibilité Perte/Vol Divulgation
Peut être construit sur
place
X X X Decreasing
Performance X X Decreasing
Compatibilité de
l'application
X X Increasing
Investissements requis
peut être
déclenché par le
coût
peut être
déclenché par le
coût
peut être
déclenché par le
coût
Increasing
Compétences
informatiques Cloud
requises
peut être
déclenché par le
coût
peut être
déclenché par le
coût
peut être
déclenché par le
coût
Increasing
Dans une informatique en nuage privée, les services sont déployés
uniquement pour les services de l’entreprise. Aucune interaction de cette
infrastructure avec d’autres entités n’est autorisée. L’informatique en nuage
privée existe sur site ou hors site.
43. 43
Risques du Cloud : Facteur du risque et
conséquences en Cloud Hybride
Facteur Indisponibilité Perte/Vol Divulgation
Interdépendance du
cloud
X X X Increasing
L’informatique en nuage hybride est un modèle permettant à l’entreprise
l’association du cloud publique, communautaire et privé, et ce
dépendamment du niveau de confiance requis pour leurs actifs
informationnels.
44. 44
Audit des SI dans le cloud (bonne gouvernance)
Audit fondé sur les risques
L’organisation doit avoir l’assurance que ses fournisseurs cloud
peuvent livrer le service souhaité et que les contrôles pour adresser les
risques – contrôles relatifs à la sécurité, la disponibilité, l’intégrité des
traitements, la confidentialité et le caractère privé des données sont mis en
place par le fournisseur et sont fonctionnels
Les auditeurs doivent rassurer les clients du cloud
Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le
prolongement naturel de l’audit fondé sur les risques identifiés, en
particulier lorsque les contrôles ne réduisent pas suffisamment les risques.
L’approche fondée sur les risques est aujourd’hui la plus répandue pour
divers types d’audits ( ISACA, ISO 19011:2018)
L’approche fondée sur les risques est cependant compliquée par le fait que
toutes les technologies et tous les contrôles sont hébergés à
l’extérieur de l’entité auditée
45. 45
Audit des SI en cloud : Portée et
Objectifs de l’audit
L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire
que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer
les contrôles d’atténuation des risques et auditer les éléments à risque.
Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation
et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des
lois et règlementations récentes en matière de sécurité et de protection des données ont
étendu la portée et objectifs de la conformité et de l’audit des SI à :
La gouvernance affectée par le cloud
• Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité
opérationnelle.
• Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation
suite au passage dans le cloud qui pourraient affecter l'organisation.
La conformité contractuelle entre le fournisseur de service et le client
• Principalement les accords sur les niveaux de service
L’évaluation des fournisseurs de services en Cloud et du contenu des
contrats
• Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des
fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité,
l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de
l'informatique dans le cloud.
46. 46
Audit des SI en cloud : Les défis de
l'audit
L’auditeur des systèmes d’informations doit donc identifier les nouveaux
aspects affectés par le cloud et affectant le cloud et rechercher des
solutions pour obtenir des résultats similaires à ce qu’il attend des
environnements des centres de données traditionnels
Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles
aller ?
La réponse dépendra des défis relevés et de l’appétence au risque de
l’organisation.
47. 47
Audit des SI en cloud : les défis de l'audit
Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une
assurance raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est
compliqué par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur
de l’entité auditée et l’environnement de contrôle des fournisseurs du cloud reste imprévisible
et moins sûr !
Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage
des responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est
important que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils
administrent directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en
place
Manque de contrôle directe et de visibilité : Dans un environnement traditionnel,
l’auditeur ne remet généralement pas en cause
les techniques de contrôle (qui fait quoi et comment)
et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à
cause de la mobilité des données et des accès : les données peuvent théoriquement se
trouver n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance
ou stockées sur des points d’extrémité mobiles
48. 48
Audit des SI en cloud : les défis de l'audit
Forte dépendance par rapport aux fournisseurs de service et manque
de transparence :
Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité
stricts et efficaces qui garantissent aux clients que leurs informations sont réellement
protégées contre les accès, les modifications et les destructions non autorisés.
Les fournisseurs doivent montrer qu’ils ont de solides seuils d’alerte en place.
Mais l’audit direct des fournisseurs de services n’est pas toujours pratique, voire
possible.
49. 49
Audit des SI en cloud : les défis de l'audit
Les prestataires de cloud sortent difficilement de leurs contrats-type
surtout pour le cloud public. D’ailleurs , les contrats portant sur les services cloud
sont jugés par les entreprises comme étant complexes et trop en faveur des
prestataires.
Il n’est pas sûr que l’auditeur puisse trouver les réponses aux questions suivantes et puisse
les valider :
Quels collaborateurs (du fournisseur) ont accès aux informations du client ?
Les responsabilités des différents collaborateurs du fournisseur sont-elles bien
cloisonnées?
Comment les informations des différents clients sont-elles séparées ?
Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en
temps opportun ?
Est-ce que des contrôles de confidentialité sont en place ?
Est-ce que des voies de communication et d’information sécurisées sont en place et
validées avant la fourniture des services ? Sont elles testées périodiquement ?
Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de
négociations. Le RGPD peut notamment aider à inverser le rapport de force.
50. 50
Audit des SI en cloud : les défis de l'audit
Outils de découverte , de diagnostic et d’investigation : Les
traditionnels outils de supervision et d’audit à base d’agents ne
s’étendent pas automatiquement aux services Cloud ni aux
équipements mobiles et l’auditeur doit élargir ses investigations (
nouveaux outils , nouvelles méthodes de tests) pour s’assurer encore
plus de la sécurité des données
Augmentation de la quantité de travail: Les risques du cloud
diffèrent en fonction du type de cloud ( Saas, IaaS, Public, Privé,…) ;
L’auditeur doit Identifier et évaluer les risques inhérents au type de
cloud utilisé et étendre aux risques qui doivent être considérés dans
toute l'entreprise.
Nécessité de développement de compétences techniques et
juridiques supplémentaires: Les auditeurs des TI doivent obtenir une
compréhension des technologies du Cloud et connaitre les principaux
risques par type de cloud pour effectuer une évaluation efficace des
risques; ils doivent en outre avoir une maitrise juridique permettant de
neutraliser les inconvénients des contrats de cloud.
52. 52
Audit des SI en cloud : les défis de l'audit
De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de
réglementations et de normes.
La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la
conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud.
Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de
protection des données personnelles
Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et
d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations
Difficultés de vérification de la conformité :
Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique
et qu’elles soient difficiles à localiser et à récupérer.
Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient
fournies sans compromettre d’autres informations.
L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses
informations lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de
refuser les informations aux autorités.
Des données sensibles sont également stockées sur des smartphones, des tablettes PC et
d’autres équipements mobiles.
53. 53
Audit des SI en cloud : les défis de l'audit
Difficulté de vérification de la conformité à cause de la circulation
internationale des informations—
La particularité du service cloud est de se déployer dans un espace sans
frontière ce qui met en relation des clients et des fournisseurs de différents
pays du monde.
Lorsque le fournisseur de service cloud est installé ou représenté dans un
pays c’est la législation du pays hôte qui s’applique.
Dans chaque pays, la teneur des lois qui réglementent les informations
d’identification personnelle est très variable.
L’emplacement physique détermine la juridiction et les obligations légales en
vigueur.
Lorsque les données peuvent être stockées n’importe où dans le nuage, leur
emplacement physique peut poser problème.
L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux
lois et règlementations car ce qui est permis dans un pays peut
constituer une infraction dans un autre.
54. 54
Connaissances et Compétences
minimales des auditeurs
Des référentiels solides sur les TI et les risques peuvent aider
l’auditeur à effectuer une évaluation efficace des risques
Modèle de gouvernance informatique
Intégration avec les systèmes informatiques internes
Connectivité réseau / bande passante
Emplacement des données
Location partagée
Stabilité, fiabilité et viabilité du fournisseur de services cloud
Portabilité du service
Aspects juridiques et de conformité réglementaire (y compris les licences,
Arrangements contractuels)
Gestion de la sécurité de l'information (y compris IAM)
Réponse aux incidents et gestion de crise
Gestion de la continuité des activités et planification de la reprise après sinistre
Archivage et suppression des données
Audit (Pentest, screening, monitoring, ...)
55. 55
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Le CloudAudit est un
important sous-groupe
de l’Alliance
CSA qui développe
une interface de
programmation
d’applications pour
automatiser l’audit,
l’évaluation et la
garantie des données
et des applications
dans le cloud.
56. 56
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Cloud Control Matrix : l’analyse des risques pour le Cloud
La Cloud Control Matrix se positionne comme un outil efficace pour
donner un premier niveau d’information et permettre d’évaluer les
risques de sécurité d’un service Cloud.
La Cloud Control Matrix ou CCM est une liste de contrôles sécurité
orientés Cloud, mise à disposition sur le site de la Cloud Security
Alliance, qui permet de jeter les premières fondations de l’analyse
de risque d’un service Cloud.
Chaque contrôle est croisé avec d’autres normes ou standards de
sécurité déjà utilisés dans le monde industriel, comme l’ISO
27001/27002, COBIT, PCI DSS …
La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud
pour auto-évaluer leur niveau de sécurité mais peut être utilisée par
l’auditeur pour faire une analyse des écarts
57. 57
ISACA , Cobit et le Cloud
Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou
ITAF™) contient des indications (section 3630.6) sur l’externalisation
et les activités confiées à des tiers qui renvoient également à d’autres
référentiels comme le COBIT® (PO4, PO7, PO8, PO9, AI2 et AI5) et
les IT Audit and Assurance Guidelines G4, G18, G32 et G37 de
l’ISACA. Ces documents fournissent une aide technique utile pour
l’exécution d’un audit de TI dans le Cloud
COBIT 5 est un ensemble complet de ressources qui contient toutes
les informations dont une organisation a besoin pour adopter un cadre
de gouvernance et de contrôle informatique.
COBIT 5 est utile en matière de gouvernance et de gestion des
investissements IT complexes tels que les services IT dans le cloud
computing.
COBIT 5 permet une meilleure gouvernance et gestion du cloud. Il
permet de mettre en place des pratiques cohérentes pour contribuer à
maximiser la valeur et à maîtriser le risque de l’utilisation du cloud
58. 58
Cobit 5 et Gouvernance du Cloud
Gouvernance
Gouvernance des services informatiques dans le cloud
Management des risques de l’entreprise
Gestion des services offerts par un tiers
Conformité et Obligations Contractuelles
Conformité légale
Droit à l’audit
Auditabilité
Périmètre de conformité
Certifications
Planification de la transition de service
59. 59
Cobit 5 et Gestion du Cloud
Management et Operations
Notification d’incidents, réponses et mesures correctives
Sécurité de l’application
Conformité
Outils et Services
Fonctionnalités de l'application
Intégrité et Sécurité des données
Gestion des clés
Gestion des accès et des identités
Virtualisation
Standards et bonnes pratiques
60. 60
Opérations/ Recommandations d’audit
pour les clients du Cloud
Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de
gouvernance claire et un plan de gestion doivent être élaborés.
La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein
de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :
les contraintes légales , pratiques et techniques doivent être identifiées
les données, traitements ou services qui pourraient être hébergés dans le
Cloud doivent être clairement identifiés.
Étant donné les risques potentiels, il est important de mettre en place un programme
de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre
une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien
protégée.
Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de
communication , matrices des rôles et responsabilités
Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le
contrat précise les domaines dans lesquels le fournisseur de cloud est responsable,
y compris pour les conséquences d’un éventuel problème ; des engagements de
transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans
les contrats de prestation de services.
61. 61
Opérations/ Recommandations d’audit
pour les clients et fournisseurs du Cloud
Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre
qui s’étend bien au delà des limites traditionnelles, les professionnels de la
sécurité doivent utiliser des contrôles de sécurité éprouvés au niveau des
données elles mêmes, et ce, où qu’elles se trouvent, car il s’agit du moyen le plus
efficace pour protéger les données sensibles et atteindre les objectifs de
conformité.
Le recours et la conformité à des normes et à des cadres de référence permet
aux entreprises et aux auditeurs de vérifier la qualité des mesures de sécurité et
des contrôles internes de leur fournisseur de cloud
ISO 27002, ISO 27017 , ISO 27018
Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils
agissent dans les règles en présentant des garanties indépendantes provenant
d’audits de tiers ( certifications ISO 27001 , ISO 22301 , ISO 20000, PCIDSS,
HIPAA, SOX, SOC1/SAS 70, SOC2 (La reconnaissance du niveau de sécurité du
Cloud ))
OVH est ISO27001 , SOC1 et SOC 2
Les services cloud Microsoft respectent les normes SOC (Service
Organization Controls) en matière de sécurité opérationnelle.
62. 62
Opérations/ Recommandations d’audit
pour les clients et fournisseurs du Cloud
Les fournisseurs doivent disposer d’un contrat
d’assurance et doivent communiquer les attestations
correspondantes à leurs clients. Ils doivent offrir les
garanties en matière de protection des données
personnelles
Il est nécessaire de réaliser périodiquement une
évaluation des services en Cloud en fonction de
l’évolution dans le temps du contexte, des risques, des
solutions disponibles sur le marché, de la législation, etc
63. 63
Rapport établi par des instituts européens d’audit interne
Ce rapport liste les sujets incontournables qui reflètent les
domaines de risques auxquels les responsables de l’audit
interne donnent la priorité alors qu’ils préparent leurs plans
d’audit pour 2018 et procèdent aux évaluations des risques à
plus long terme.
Ce rapport montre l’impact fondamental des technologies qui
déterminent, facilitent et bouleversent les opérations et les
stratégies des organisations.
Ce rapport est une pression qui incite les auditeurs internes à
acquérir de nouvelles compétences et à adopter des outils
innovants afin de renforcer leurs capacités dans un monde de
plus en plus numérique.
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES
DE L’AUDIT INTERNE EN 2018
64. 64
Rapport établi par des instituts européens d’audit interne
Les domaines de risque par ordre d’identification commune
RGPD : l’enjeu de la protection des données
Cybersécurité : le chemin de la maturité
Complexité réglementaire et incertitude
Rythme de l’innovation
Incertitude politique : BREXIT et autres inconnues
Risques liés aux fournisseurs et maîtrise de la
relation avec les tiers
La problématique de la culture
Capital humain : se projeter vers le futur
Transformer la fonction d’audit interne
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES
DE L’AUDIT INTERNE EN 2018