SlideShare une entreprise Scribd logo
la sécurité
   du cloud
  computing
  le temps
 d’un
café
édito
                    Après quelques petites années, le cloud computing est
                    maintenant partout. Mais sans sécurité, pas de cloud
                    computing : pour une fois (!) le marché est unanime sur ce point.
                    Les questions et interrogations sont nombreuses : en quoi la
                    sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de
                    la composante humaine de cette équation cloud et sécurité ?
                    Par où commencer et sur quels référentiels s’appuyer pour son
                    “projet cloud” ? Le livret que vous avez sous les yeux concentre
                    une sélection de billets qui, le temps d’un café, devraient vous
                    apporter un éclairage sur ce sujet qu’est “la sécurité du cloud
                    computing”.

                    Bonne lecture et à très bientôt sur nos blogs pour continuer
                    le voyage !

                    Jean-François Audenard		




la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
sommaire
                    invasion de services cloud
                    en entreprise : que faire ?                 6

                    comprendre la protection
                    des données dans le cloud                   13

                    cloud iaas : 15 recommandations
                    pour des serveurs sécurisés                 20

                    forrester : la sécurité des services cloud
                    dans le collimateur                         25

                    5 documents de référence sur la sécurité
                    du cloud computing                          29




la sécurité du cloud computing le temps d’un café                 5
invasion de services cloud en entreprise : que faire?




    invasion de services
    cloud en entreprise :
    que faire?
    par Jean-François Audenard

    Pour une entreprise, le cloud computing est une petite révolution
    dans la façon de considérer l’informatique mais c’est aussi une
    nouvelle source de soucis. Un peu comme les infections qui
    se nichent entre les doigts de pieds : elles apparaissent, on les
    soigne, on pense avoir gagné et peu temps après elles sont de
    nouveau là...
    Pour une entreprise, les applications en mode cloud computing
    c’est peu ou prou la même chose que ces mycoses ou autres
    champignons : les employés souscrivent d’eux-mêmes à des
    services cloud, la direction sécurité n’étant pas mise dans la
    boucle ; au contraire cette dernière est soigneusement oubliée :
    Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la
    regarde pas.

    Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est
    nécessaire d’accompagner ce changement car il est trop tard
    pour l’enrailler.



    les motivations profondes :
    rapidité de mise en oeuvre,
    documentation et coûts
    Pour les directions métiers, l’amélioration de leur productivité et
    de leur agilité passe par une plus grande réactivité dans la mise




6                            la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire?




                  en oeuvre des moyens et systèmes nécessaires pour atteindre
                  leurs objectifs. Depuis plusieurs années (voire décennies) les
                                    directions informatiques les assomment de
 à savoir                           délais improbables allant de pair avec des coûts
souscrire à un service cloud dignent du meilleur escroc.
est facile et rapide :              Une autre raison réside dans le fait que
il suffit d’un accès internet et des services de cloud externes n’ont pas
de sortir sa carte bancaire         d’équivalents en interne ou encore que ceux-ci
corporate.                          sont tout simplement bien mieux documentés
                                    et clairs que leurs versions internes. Car
                  oui, certains services en internes sont parfois bien mais la
                  documentation est souvent un peu trop basique, pas à jour voir
                  quasiment obsolète... et gare à celui qui osera dire tout haut ce
                  que tout le monde pense tout bas !
                  Avant le cloud, les directions métiers étaient ; excusez-moi de
                  l’expression ; “de la baise”. Avec le cloud computing elles ont
                  désormais le choix : les directions informatiques doivent donc
                  s’adapter et évoluer ; les directions sécurité aussi.


                     un état de fait, une tendance qu’il
                     n’est pas possible d’arrêter
                     Souscrire à un service cloud est facile et rapide : il suffit d’un
                     accès Internet et de sortir sa carte bancaire corporate. Les
                     services cloud qui sont les premiers sur la liste sont ceux
                     de type SaaS (Software as a Service), les PaaS (Platform as
                     a Service) ou même ceux de type IaaS (Infrastructure as a
                     Service).
                     A moins de couper les accès Internet (totalement irréaliste)
                     ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud
                     Services providers” dans les systèmes de filtrage d’URL ?), la
                     tendance est à un élargissement du nombre de prestataires de
                     services informatiques. Les directions informatique et sécurité
                     sont donc tenues ; si elles veulent rester en place et continuer à
                     être reconnues ; de se mettre au goût du jour et d’accompagner
                     ce changement.




la sécurité du cloud computing le temps d’un café                                         7
invasion de services cloud en entreprise : que faire?




il est important
de s’assurer
que les données
              tion

peuvent être
          n
    at te




effectivement
récupérées
sous un format
ré-utilisable.

8                    la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire?




                     accompagner pour préparer
                     l’avenir et anticiper
                     Une direction informatique, assistée de la direction sécurité, doit
                     donc faire la part des choses et guider son organisation afin de
                     l’accompagner vers cette transition vers le cloud computing.
                     Sans chercher à brosser dans le sens du poil, mon avis est que
                     les directions sécurité possèdent une plus grande pratique de
                     “l’accompagnement” des projets que les direction informatiques.
                     Oui, l’utilisation inconsidérée de services en mode cloud peut
                     être dangereux pour une entreprise. Illustration en deux points :
                     la conformité et la continuité.



                     données personnelles
                   Une entreprise française manipulant des données personnelles
                   est tenue d’assurer la sécurité de ces données et celles-ci
                   doivent rester dans le giron de l’espace européen (ou sur le sol
                   d’un pays reconnu comme étant “suffisamment protecteur”).
                   Tout le monde n’est pas au fait de ces aspects réglementaires
                                    (directive Européenne 95/46/EC), une direction
 à savoir                           sécurité est donc tout à fait légitime pour
la loi indique que le client        guider le choix (sans s’y opposer ou forcément
final doit être informé que         chercher à placer d’autres solutions) vers un
des données personnelles            fournisseur en mesure de répondre à ce besoin
le concernant sont amenées de conserver les données dans une liste de
à quitter la zone Europe.           pays pré-établie.
                                    De la même façon, il conviendra de s’assurer
                                    que les équipes de support technique du
                   prestataire sont bien localisées dans des pays connus. Car oui,
                   si les données doivent être localisées dans des datacenters
                   précis, les personnes accédant à distance à ces mêmes
                   données doivent aussi l’être.
                   Dans le cas contraire, la loi indique que le client final doit être
                   informé que des données personnelles le concernant sont




la sécurité du cloud computing le temps d’un café                                        9
invasion de services cloud en entreprise : que faire?




     amenées à quitter la zone europe (ou un pays “reconnu”) et cela
     doit être stipulé dans le contrat de service.



     continuité
     Utiliser des services comme le PaaS pour des applicatifs ou
     exécuter des machines virtuelles dans le cloud est souvent
     motivé par une rapidité de mise en place, répondre à une charge
     ponctuelle ou encore accélérer les développements ou tests.
     Dans chacun de ces contextes d’utilisation de services cloud, il
     est critique d’assurer que ces activités peuvent être déplacées
     vers un autre fournisseur que celui initialement choisi (par
     exemple si celui-ci viendrait à cesser ses activités). De la même
     façon, une société peut initier un projet grâce aux services cloud
     d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé
     ou communautaire.



     réversibilité
     Si ces questions relatives à la réversibilité n’ont pas été abordées
     et instruites lors de la phase initiale de souscription du service le
     retour en arrière pourrait être prohibitif voire même dans certains
     cas impossible.
     Dans tous les cas, il est important de s’assurer que les données
     peuvent être effectivement récupérées sous un format ré-utilisable.
     Pour de l’IaaS, cela passe via la possibilité de récupérer des
     sauvegardes complètes de ses machines virtuelles (sous un format
     spécifique à l’hyperviseur ou encore sous forme de fichiers OVF).
     Dans le domaine du PaaS, le sujet n’est pas neuf, les récents
     échanges de mots entre Google et Joyent (“Google Cloud
     Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de
     Big-Table sont un bon exemple du besoin d’utiliser des techniques
     standardisées (ou tout du moins non propriétaires) car sinon c’est
     le “syndrome d’enfermement” assuré.




10                            la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire?




                     souplesse et accompagnement
                     La balle est dans le camp des directions informatiques et
                     sécurité : le cloud computing est là et sera de plus en plus
                     présent car elles trouvent dans ce modèle une agilité qui leur
                     est nécessaire. Le proverbe Japonais “la neige ne brise jamais
                     les branches du saule” illustre bien le comportement à adopter  :
                     souplesse et accompagnement sont les clefs d’une transition
                     vers le cloud computing.




l’article en ligne
Invasion de services cloud
en entreprise : que faire ?




la sécurité du cloud computing le temps d’un café                                    11
la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud




                    comprendre la
                    protection des données
                    dans le cloud
                    par Jean-François Audenard

                    Les donneés stockées dans le cloud doivent être protégées
                    contre les accès et les modifications non-autorisées. Plus le
                    niveau de protection proposé sera élevé et complet, plus le
                    volume et la variété des données iront croissant.
                    La littérature sur le sujet est abondante mais parfois un peu
                    confuse et souvent parcellaire. Je vous propose de partager
                    avec vous quelques idées sur ce thème.
                    Comme nous le verrons, le cycle de vie des données est une
                    constante qui sera un outil particulièrement utile et qui est
                    applicable quelque soit le type de service cloud concerné. Par
                    contre, au niveau de certaines phases de ce cycle de vie les
                    choses se compliqueront en fonction du type de service  : on ne
                    sécurise pas de la même façon des données dans un contexte
                    de service de type IaaS (Infrastructure as a Service), BaaS
                    (Backup as a Service) ou encore SaaS (Software as a Service).


                    cycle de vie de la donnée  : modèle
                    de référence
                    Le cycle de vie des données dans le Cloud est décomposable en
                    5 grandes étapes. Les données sont transférées dans le Cloud,
                    elles y sont stockées, utilisées, récupérées et éventuellement
                    détruites. A chaque étape de ce cycle de vie, différentes
                    mesures peuvent être mises en oeuvre pour assurer la sécurité
                    des données.
                    Les mesures de protection sont de deux types  : le contrôle




la sécurité du cloud computing le temps d’un café                                 13
comprendre la protection des données dans le cloud




     d’accès et le chiffrement. Je n’évoquerai que rapidement la
     première pour me focaliser sur le chiffrement.


     première brique essentielle : le
     contrôle d’accès
     Contrôler l’accès aux données s’appuie sur des mécanismes
     d’authentification : une personne (ou un système, un programme)
     doit montrer patte blanche afin de pouvoir accéder aux données.
     L’ensemble des techniques, systèmes et moyens de contrôle
     d’accès sont regroupés sous l’acronyme IAM (Identity and
     Access Management). Comme il s’agit d’un sujet très large je
     vous propose de le mettre de coté pour le moment.


     phase de transit des données :
     c’est maîtrisé !
     Les phases liées à l’envoi des données depuis les systèmes
     internes d’une entreprise vers le cloud ou à leur rapatriement
     sont les plus matures. Ou les données peuvent être chiffrées en
     internes par l’entreprise et ensuite envoyées, ou alors on utilise
     une couche de transport intégrant cette fonction de chiffrement.
     Dans cette seconde catégorie, les protocoles standards que
     sont IPSEC et SSL sont très répandus. En liaison avec une
     authentification basée sur des clefs asymétriques (certificats
     à clef publique par exemple), ces protocoles permettent de
     transmettre des données en toute sécurité vers ou depuis le
     cloud. Nous sommes en pleine zone de confort, les standards
     existent, les systèmes sont fiables et faciles à utiliser.


     phase de stockage des données :
     ça se gâte
     Une fois les données arrivées dans le Cloud, celles-ci y sont




14                            la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud




                stockées. En l’absence de standards reconnus la mise en oeuvre
                des fonctions de chiffrement est dépendante du fournisseur de
                service. Certains d’entre-eux vont proposer des systèmes dont
                le fonctionnement n’est peut-être pas toujours très clair. Dans le
                cas où les données sont déposées dans le cloud afin d’assurer
                                  leur disponibilité (cas par exemple d’un service
 à savoir                         de type Baas - Backup as a Service), le mieux
en l’absence de standards est de chiffrer les données avant de les envoyer :
reconnus la mise en               cette tâche incombera au client du cloud qui
oeuvre des fonctions de           réalisera ce traitement lui-même (ou via des
chiffrement est dépendante outils mis à sa disposition par son fournisseur).
du fournisseur du service         Evidemment, dans le cas d’un service de type
corporate.                        SaaS (Software as a Service) le chiffrement ne
                                  pourra être réalisé que par le fournisseur : le
                client final ayant un rôle quasi inexistant (et donc une maîtrise)
                dans cette étape de chiffrement. Ici le contrôle d’accès (IAM)
                aura un rôle encore plus important que dans le cas d’un service
                de type BaaS ou le chiffrement peut être effectué à la source.
                Même si la situation n’est pas toute rose, il y a donc quelques
                solutions de disponibles pour les données “at rest” ou
                “stockées”. La situation se complique encore plus pour les
                données présentes dans le cloud et devant être utilisées dans ce
                même cloud.


                    données utilisées dans le cloud :
                    absence de standards
                    Pour ce qui concerne les données présentes dans le cloud et
                    qui doivent être utilisées depuis le cloud, il n’existe actuellement
                    pas de solution. Afin d’illustrer mon propos, prenons l’exemple
                    d’une machine virtuelle déployée sur un Cloud de type IaaS
                    (Infrastructure as a Service). Cette VM (Virtual Machine) utilise
                    un système de fichier pour stocker le système d’exploitation, les
                    applicatifs et les données des applications. Même si on chiffre
                    le système de fichier, les clefs de déchiffrement doivent être
                    présentes dans la VM pour que celle-ci puisse fonctionner.... Un




la sécurité du cloud computing le temps d’un café                                      15
comprendre la protection des données dans le cloud




  sélectionner
  en priorité
  un fournisseur
  en qui vous
  avez confiance
  et qui connait
  vos besoins
  et contraintes.
at t
       en
            tio
                  n




   16                  la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud




                    attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder
                    aux données présentes sur le disque de la VM.
                    Dans ce cas précis, la sécurité des données va reposer sur les
                    mesures de contrôle d’accès mises en place pour accéder aux
                    données : cela tant pour les accès externes que pour les accès
                    des administrateurs et exploitants du Cloud. Avoir confiance
                    en son fournisseur est donc peut-être encore plus important
                    quand on lui confie des VM. Idem pour une application
                    positionnée dans le cloud (webmail, application de CRM, gestion
                    documentaire, etc...)


                    et la destruction des données ?
                    le chiffrement est un allié
                    Une fois que des données ont été récupérées depuis un cloud, il
                    est important de s’assurer qu’elles en disparaissent bien. Outre
                    le fait qu’il convient de demander quels sont les engagements,
                    moyens et procédures mis en oeuvre par un fournisseur pour
                    effacer toute trace de vos données ; un doute peut ultimement
                    subsister. C’est ici que le chiffrement peut nous donner un coup
                    de main.
                    En effet, sans la clef pour les déchiffrer, des données
                    préalablement chiffrées sont totalement inutilisables : donc pour
                    détruire des données, il suffit de jeter la clef de chiffrement !
                    C’est ce concept qui permet de s’assurer que des données sont
                    bien inaccessibles même dans le cas extrême où un fournisseur
                    de cloud vient de mettre la clef sous la porte sans prévenir.


                    un fournisseur de confiance
                    est essentiel
                    A part la phase de transfert des données depuis ou vers le
                    cloud, les moyens pour sécuriser ses données lorsqu’elles
                    sont dans le cloud restent encore à améliorer. En attendant
                    que les standards se développent et qu’ils soient intégrés par




la sécurité du cloud computing le temps d’un café                                    17
comprendre la protection des données dans le cloud




                     les fournisseurs de service, la confiance dans son fournisseur
                     est un élément fondamental. La confiance vient dans le temps
                     et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma
                     recommandation serait de sélectionner en priorité un fournisseur
                     en qui vous avez confiance et qui connait vos besoins et
                     contraintes. Néanmoins, pas de confiance aveugle : un contrat
                     bien ficelé et une analyse fine et approfondie de ses pratiques
                     de sécurité sont des points de passage obligés.



l’article en ligne
Comprendre la protection
des données dans le cloud




18                                           la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés




                cloud iaas :
                15 recommandations
                pour des serveurs
                sécurisés
                par Jean-François Audenard

                Les services cloud de type IaaS (Infrastructure as a Service)
                sont peut-être ceux qui viennent le plus naturellement à l’esprit
                des personnes. Cela est peut-être dû au fait que ce niveau de
                                 service bénéficie du “halo” de la virtualisation...
     à savoir
 Vous devriez commencer          Dans une offre de type IaaS, le client souscrit
 par identifier vos besoins      à un service d’hébergement d’un système
 sécurité pour ensuite           d’exploitation tournant dans un environnement
 sélectionner votre              virtualisé. Une fois le système livré par le
 fournisseur et ajouter          prestataire c’est au client de sécuriser son
 vous-même ce qu’il ne           système. L’étendue de ce travail de sécurisation
 propose pas                     dépendra des besoins du client et ce qui est
                                 fournit ou non par le prestataire.

                Partons sur le principe que le niveau de service du service IaaS
                auquel vous venez de souscrire est celui d’entrée de gamme.
                A vous de remonter vos manches et de renforcer la sécurité au
                niveau adéquat.




20                                         la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés




ne stockez pas
vos clefs de
déchiffrement                                                 at te
                                                                    n   tion


sur l’instance :
celles-ci ne
doivent y entrer
que durant le
processus de
déchiffrement.
la sécurité du cloud computing le temps d’un café                              21
cloud iaas : 15 recommandations pour des serveurs sécurisés




     Je vous donne 15 recommandations pour sécuriser une
     instance d’une machine virtuelle localisée en Cloud IaaS.



      1.	Cryptez tout le trafic réseau
      2.	Limitez à un le nombre de services supportés par une
        instance (*)
      3.	Renforcez la sécurité de votre système d’exploitation
        (Microsoft MBSA, Bastille Linux, ...)
      4.	Activez les fonctions de cryptage intégrées aux systèmes de
        fichiers ou des périphériques en mode bloc
      5.	Cryptez toutes les données déposées sur les espaces de
        stockage (SAN, NAS, ...)
      6.	Ne stockez pas vos clefs de décryptage sur l’instance :
        celles-ci ne doivent y entrer que durant le processus de
        décryptage.
      7.	N’ouvrez que le minimum de ports réseau requis sur
        chacune des instances
      8.	Déployez régulièrement les correctifs de sécurité (Patchs)
        tant pour le système d’exploitation que les applicatifs
      9.	Faites des scans de détection de vulnérabilités récurrents
     10.	Hormis pour les services publics comme HTTP/HTTPS,
        limitez les adresses IP sources autorisées à se connecter
     11.	N’utilisez pas de mots de passe pour les accès en mode
        console, préférez plutôt les clefs RSA ou certificats SSL
        clients
     12.	Effectuez régulièrement des sauvegardes pour ensuite les
        rapatrier et les stocker en lieu sûr
     13.	Installez un système de détection d’intrusion au niveau du
        système d’exploitation (par exemple OSSEC, CISCO CSA, ...)
     14.	Si vous suspectez une intrusion, faites un snaphost de
        l’instance et stoppez-là. (*)
     15.	Développez vos applications de façon sécurisée (OWASP).




22                            la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés




                     Normalement, pour devriez commencer par identifier vos
                     besoins sécurité pour ensuite sélectionner votre (ou vos)
                     fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt)
                     pas que ce soit dans le niveau de service standard ou dans le
                     cadre d’options.

                     Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez
                     similaire à un serveur dédié hébergé chez un prestataire ;
                     enlevez la couche de virtualisation et grosso-modo vous
                     retombez dans un monde connu. Sur les 15 recommandations,
                     seules deux (*) requièrent des techniques liées à la virtualisation.
                     PS : rien de bien magique pour un administrateur système/
                     sécurité expérimenté. Surtout qu’avec la virtualisation le copy/
                     paste d’instances virtuelles offre un niveau d’industrialisation
                     que l’on ne connait pas dans les serveurs dédiés. Bon cloud !



l’article en ligne
cloud IaaS : 15 recommandations
pour des serveurs sécurisés




la sécurité du cloud computing le temps d’un café                                       23
la sécurité du cloud computing le temps d’un café
forrester : la sécurité des services cloud dans le collimateur




                     forrester : la sécurité
                     des services cloud
                     dans le collimateur
                     par Jean-François Audenard

                     Dans l’une des dernières études de Forrester intitulée “Status,
                     Challenges, And Near-Term Tactics For Cloud Services In Enter-
                     prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les
                     enjeux liés à la sécurité des services cloud sont bien présents.

                                            Avant que les entreprises fassent massivement
  à savoir                                  le “grand saut” vers les services cloud, des
  Vous devriez commencer                    réponses à 7 grandes interrogations devront
  par identifier vos besoins                être apportées par les fournisseurs de services
  sécurité pour ensuite                     dans le nuage. Le premier d’entre-eux est la
  sélectionner votre                        sécurité : “Even so, perceptions and genuine
  fournisseur et ajouter                    technical hurdles put security as one of the
  vous-même ce qu’il ne                     biggest challenges to broader enterprise cloud
  propose pas                               services adoption”.

                     La sécurité des services cloud est en effet pointée comme une
                     question récurrente sur laquelle les positions sont clairement
                     dissonantes.
                     Certains affirment que la sécurité dans le nuage est impos-
                     sible alors que d’autres défendent becs et ongles le contraire : le
                     cloud peut être mieux sécurisé que des infrastructures dédiées.
                     Ces messages contradictoires pourraient s’expliquer par le fait
                     que le niveau des technologies et processus mis en œuvre dans
                     les plateformes de type cloud ne sont pas aussi matures que
                     pour d’autres domaines. D’un autre coté, pour certains ser-
                     vices “cloud” on peut dire que leur niveau de sécurité est
                     arrivé à maturité.




la sécurité du cloud computing le temps d’un café                                         25
forrester : la sécurité des services cloud dans le collimateur




pour certains
services “cloud”
     at ten
              tion


on peut dire
que le niveau
de sécurité est
arrivé à maturité.



26                           la sécurité du cloud computing le temps d’un café
forrester : la sécurité des services cloud dans le collimateur




                     J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder
                     les services de mail. De grandes entreprises sous-traitent (en
                     totalité ou en partie) leurs communications électroniques à des
                     prestataires de services. Cela fonctionne plutôt bien d’ailleurs.

                     Pour faire un parallèle : dans le cloud on peut retrouver des
                     termes comme “private cloud”, “public cloud” ou encore
                     “community cloud”. Mettez en face de chacun “une plateforme
                     de mail dédiée hebergée”, “Gmail” ou encore des “services de
                     messagerie electroniques pour le segment des entreprises”
                     (suivez mon regard).
                     Pour chacun de ces services “cloud” on sait faire dans le sé-
                     curisé... bien sûr au niveau de fonctionnalité et au prix attendu
                     par chacun.

                     Quelle est la recommandation de Forrester ? Plutôt simple :
                     “intégrez la sécurité dans les choix stratégiques et dans le pro-
                     cessus de sélection”.

                     Ce n’est pas une surprise : les entreprises ne pouvant “out-
                     sourcer” leurs risques (à la limite les transférer, mais à un coût)
                     elles doivent donc s’appuyer sur leurs experts sécurité pour
                     évaluer objectivement les déclarations sécuritaires de leurs
                     fournisseurs de services cloud.

                     “Il faut intégrer la sécurité dès le début du projet” : rien de bien
                     nouveau ici, que du classique... Est-ce fait systématiquement ?
                     A chacun de s’en assurer.

                     PS: J’ai délibérément omis de parler de tout ce qui n’était pas
                     en relation avec la sécurité. Ce document de Forrester n’étant
                     pas focalisé uniquement sur la sécurité.


l’article en ligne
Forrester : la sécurité des services
cloud dans le collimateur




la sécurité du cloud computing le temps d’un café                                           27
la sécurité du cloud computing le temps d’un café
5 documents de référence sur la sécurité du cloud computing




                    5 documents de
                    référence sur la sécurité
                    du cloud computing
                    par Jean-François Audenard

                    Voici 5 documents que je considère comme des “références”
                    dans le domaine de la sécurité du cloud computing (ou plus
                    généralement dans le contexte de l’externalisation des systèmes
                    d’information).
                    Dans cette sélection, les documents en langue française ne
                    sont pas légion mais sont de qualité. Pour ceux que l’anglais ne
                    rebute pas, il y a du lourd avec notamment le guide de la Cloud
                    Security Alliance.


                    #1
                    ANSSI Maîtriser
                    les risques de l’infogérance
                    (En français - 56 pages)

                    Le premier c’est le “Guide de l’externalisation : externalisation
                    et sécurité des systèmes d’information : maîtriser les risques”
                    de l’ANSSI (Agence Nationale de la Sécurité des Systèmes
                    d’Information) qui nous propose un document très didactique.
                    L’approche prise est clairement d’accompagner le lecteur/
                    lectrice vers une démarche de prise en compte de la sécurité
                    dans un projet d’externalisation d’un système d’information.
                    A noter une section relative à la définition d’un PAS (Plan
                    d’Assurance Sécurité) et comment contractualiser des
                    engagements de sécurité.




la sécurité du cloud computing le temps d’un café                                       29
5 documents de référence sur la sécurité du cloud computing




     #2
     Syntec Numérique Livre Blanc
     sécurité du Cloud Computing
     (En français - 24 pages)

     Le second c’est celui du Syntec Numérique “Livre Blanc
     sécurité du Cloud Computing - Analyse des risques, réponses
     et bonnes pratiques”.
     Après une analyse des risques mettant le focus sur les 9 risques
     principaux identifiés autour du cloud, l’approche du Syntec
     Numérique prend le parti de détailler les mesures de sécurité
     selon trois axes : sécurité physique, sécurité logique et enfin
     sécurité des données.
     Le document est d’une lecture aisée car il évite un formalisme
     trop guindé, c’est peut-être le plus accessible des 5 documents
     pour celui ou celle souhaitant appréhender le sujet.


     #3
     Cloud Security Alliance
     Security Guidance for Critical
     Areas of Cloud Computing v3.0
     (En anglais - 177 pages)

     Le troisième document publié par la Cloud Security Alliance
     est LE POIDS LOURD de cette sélection. Le guide “Security
     Guidance for Critical Areas of Cloud Computing Version 3.0” est
     une “référence-de-référence” pour tout professionel du domaine.
     Ce document contient les informations de dernière main dans le
     domaine de la sécurité du cloud computing. Mon petit reproche?
     Certaines mesures de sécurité détaillées dans ce document
     sont parfois un peu décalées du terrain car trop complexes, elles
     restent néanmoins applicables mais pas pour tous.
     Ce n’est que la partie hébergée de l’iceberg : la Cloud Security




30                              la sécurité du cloud computing le temps d’un café
5 documents de référence sur la sécurité du cloud computing




                    Alliance propose bien d’autres documents. Mon conseil  : allez
                    fouiller sur leur site, vous ne serez pas déçu(e) !


                    #4
                    ENISA, Cloud Computing Risk
                    Assessment
                    (En anglais - 125 pages)

                    Le 4ième document est celui de l’ENISA, agence Européenne
                    spécialisée dans la sécurité des systèmes d’information.
                    Dans leur document “Cloud Computing, Benefits, risks
                    and recommendations for information security”, l’ENISA
                    nous propose une vision axée sur les risques liés aux cloud
                    computing. C’est le document le plus complet de tous sur
                    l’approche “risques”. Chacun des risques est passé en revue et
                    les mesures de sécurité de réduction présentées.
                    Chaque risque est présenté sous une forme identique et
                    les informations données sont synthétiques, ce qui facilite
                    grandement la tâche. Pour vous faire une idée de par où
                    commencer, ce document est fait pour vous : foncez en page
                    24 pour identifier les 8 risques considérés comme les plus
                    importants.


                    #5
                    PCI DSS
                    Virtualization Guidelines v2.0
                    (En anglais - 39 pages)

                    Le Payment Card Industry Data Security Standard (PCI DSS) fixe
                    les règles du jeu concernant la sécurité des informations des
                    cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est
                    que les règles (ou “objectifs de sécurité”) sont précis et connus
                    d’avance. Le niveau d’exigence est clairement fort.
                    Le guide “PCI-DSS - Information Supplement: PCI DSS




la sécurité du cloud computing le temps d’un café                                    31
5 documents de référence sur la sécurité du cloud computing




                     Virtualization Guidelines” explicite de façon claire et précise
                     ce qu’il convient de mettre en place au niveau d’une couche
                     de virtualisation. Pour savoir que faire pour sécuriser votre
                     hyperviseur c’est le document qu’il vous faut : cela couvre tant
                     les aspects techniques mais aussi organisationnels.


                     mes deux préférés
                     Sur ces 5 documents de référence, mes deux préférés sont
                     celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide
                     de la Cloud Security Alliance concentre “l’état de l’art” dans le
                     domaine de la sécurité du cloud computing ; celui de l’ANSSI
                     donnant quant à lui les clefs pour intégrer la sécurité dans le
                     coeur d’un service de cloud computing.


                     et ce n’est pas fini : quels sont vos
                     documents de prédilection ?
                     J’ai volontairement passé sous silence les guides spécifiques
                     à une technologie spécifique ou encore d’autres comme les
                     documents du NIST, ceux de la NSA et j’en passe....
                     Quels sont les documents que vous considérez comme “de
                     référence” ? C’est le moment de montrer les joyaux cachés au
                     fond de vos disques durs et autres espaces de partage en ligne.




l’article en ligne
5 documents de référence
sur la sécurité du cloud computing




32                                             la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
l’auteur
Jean-François
Audenard
Au sein d’Orange Business Services, je suis
en charge d’intégrer la sécurité au cœur de
nos offres et services de cloud computing.
Je suis un passionné et ne considère les
choses que de façon entière et engagée :
pas de mi-figue/mi-raisin avec moi. Bloggeur
engagé et engageant, j’aime aller au delà des
chantiers battus et faire “bouger les codes”. La
franchise est ma “touche” et l’optimisme et le
volontarisme mes deux moteurs.




       la sécurité du cloud computing le temps d’un café
Document téléchargeable à :
http://livres-blancs.orange-business.com/

Édité par Orange Business Services
30.03.2012




la sécurité du cloud computing le temps d’un café
La securite du cloud computing le temps d un cafe - Orange Business Services

Contenu connexe

Tendances

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
Tactika inc.
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
Cédric Mora
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
noussa krid
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
Syntec Numérique
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
Sébastien Kieger
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
Tactika inc.
 
Ca cloud academy securité nauges
Ca   cloud academy securité naugesCa   cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
POST Telecom for Business
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
Mohamed Belhadj
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
NBS System
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
IshakHAMEDDAH
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
Bee_Ware
 

Tendances (20)

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Ca cloud academy securité nauges
Ca   cloud academy securité naugesCa   cloud academy securité nauges
Ca cloud academy securité nauges
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 

Similaire à La securite du cloud computing le temps d un cafe - Orange Business Services

DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1AIR-LYNX
 
L'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage   par où commencer - marisol labrecqueL'informatique en nuage   par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecque
CLDEM
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
Ikoula
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
@aboukam (Abou Kamagaté)
 
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SIUn vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
PROJECT SI
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
Microsoft Ideas
 
Livre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donneesLivre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donnees
Marc Bourhis
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
PECB
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
smiste
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
PECB
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
Nuageo
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
Antoine Vigneron
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?
NRC
 
Etude cio n_5_9209
Etude cio n_5_9209Etude cio n_5_9209
Etude cio n_5_9209
Gideon Ale
 
Magellan consulting i ma-gine - cloud
Magellan consulting   i ma-gine - cloudMagellan consulting   i ma-gine - cloud
Magellan consulting i ma-gine - cloud
Pierre Jacob
 
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Magellan Consulting
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
Christophe Monnier
 
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloudLes enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
Microsoft Ideas
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
Simon Hénault
 

Similaire à La securite du cloud computing le temps d un cafe - Orange Business Services (20)

DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
 
L'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage   par où commencer - marisol labrecqueL'informatique en nuage   par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecque
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SIUn vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
Livre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donneesLivre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donnees
 
Tendances cloud2013 v2.0
Tendances cloud2013 v2.0Tendances cloud2013 v2.0
Tendances cloud2013 v2.0
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?
 
Etude cio n_5_9209
Etude cio n_5_9209Etude cio n_5_9209
Etude cio n_5_9209
 
Magellan consulting i ma-gine - cloud
Magellan consulting   i ma-gine - cloudMagellan consulting   i ma-gine - cloud
Magellan consulting i ma-gine - cloud
 
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloudLes enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
 

Plus de Romain Fonnier

Magnite - taking action on identity in europe - april 2021
Magnite  - taking action on identity in europe - april 2021Magnite  - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021
Romain Fonnier
 
ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021
Romain Fonnier
 
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique   panorama des acteurs technologiques sell side - iab fr...Audio programmatique   panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Romain Fonnier
 
Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique -  IAB France - 2021Le barometre du programmatique -  IAB France - 2021
Le barometre du programmatique - IAB France - 2021
Romain Fonnier
 
La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020
Romain Fonnier
 
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Romain Fonnier
 
Smart identity indicator - Q1 2021
Smart identity indicator  - Q1 2021Smart identity indicator  - Q1 2021
Smart identity indicator - Q1 2021
Romain Fonnier
 
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Romain Fonnier
 
Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021
Romain Fonnier
 
2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe
Romain Fonnier
 
CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019
Romain Fonnier
 
CPA - Black Friday - 2020
CPA - Black Friday - 2020CPA - Black Friday - 2020
CPA - Black Friday - 2020
Romain Fonnier
 
CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020
Romain Fonnier
 
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Romain Fonnier
 
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiquesTracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
Romain Fonnier
 
Baromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA FranceBaromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA France
Romain Fonnier
 
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
Romain Fonnier
 
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
Romain Fonnier
 
21eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 201921eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 2019
Romain Fonnier
 
Guide data - IAB france - 2019
Guide data - IAB france - 2019Guide data - IAB france - 2019
Guide data - IAB france - 2019
Romain Fonnier
 

Plus de Romain Fonnier (20)

Magnite - taking action on identity in europe - april 2021
Magnite  - taking action on identity in europe - april 2021Magnite  - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021
 
ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021
 
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique   panorama des acteurs technologiques sell side - iab fr...Audio programmatique   panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
 
Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique -  IAB France - 2021Le barometre du programmatique -  IAB France - 2021
Le barometre du programmatique - IAB France - 2021
 
La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020
 
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
 
Smart identity indicator - Q1 2021
Smart identity indicator  - Q1 2021Smart identity indicator  - Q1 2021
Smart identity indicator - Q1 2021
 
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
 
Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021
 
2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe
 
CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019
 
CPA - Black Friday - 2020
CPA - Black Friday - 2020CPA - Black Friday - 2020
CPA - Black Friday - 2020
 
CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020
 
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
 
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiquesTracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
 
Baromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA FranceBaromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA France
 
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
 
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
 
21eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 201921eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 2019
 
Guide data - IAB france - 2019
Guide data - IAB france - 2019Guide data - IAB france - 2019
Guide data - IAB france - 2019
 

La securite du cloud computing le temps d un cafe - Orange Business Services

  • 1. la sécurité du cloud computing le temps d’un café
  • 2.
  • 3. édito Après quelques petites années, le cloud computing est maintenant partout. Mais sans sécurité, pas de cloud computing : pour une fois (!) le marché est unanime sur ce point. Les questions et interrogations sont nombreuses : en quoi la sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de la composante humaine de cette équation cloud et sécurité ? Par où commencer et sur quels référentiels s’appuyer pour son “projet cloud” ? Le livret que vous avez sous les yeux concentre une sélection de billets qui, le temps d’un café, devraient vous apporter un éclairage sur ce sujet qu’est “la sécurité du cloud computing”. Bonne lecture et à très bientôt sur nos blogs pour continuer le voyage ! Jean-François Audenard la sécurité du cloud computing le temps d’un café
  • 4. la sécurité du cloud computing le temps d’un café
  • 5. sommaire invasion de services cloud en entreprise : que faire ? 6 comprendre la protection des données dans le cloud 13 cloud iaas : 15 recommandations pour des serveurs sécurisés 20 forrester : la sécurité des services cloud dans le collimateur 25 5 documents de référence sur la sécurité du cloud computing 29 la sécurité du cloud computing le temps d’un café 5
  • 6. invasion de services cloud en entreprise : que faire? invasion de services cloud en entreprise : que faire? par Jean-François Audenard Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l’informatique mais c’est aussi une nouvelle source de soucis. Un peu comme les infections qui se nichent entre les doigts de pieds : elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là... Pour une entreprise, les applications en mode cloud computing c’est peu ou prou la même chose que ces mycoses ou autres champignons : les employés souscrivent d’eux-mêmes à des services cloud, la direction sécurité n’étant pas mise dans la boucle ; au contraire cette dernière est soigneusement oubliée : Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la regarde pas. Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d’accompagner ce changement car il est trop tard pour l’enrailler. les motivations profondes : rapidité de mise en oeuvre, documentation et coûts Pour les directions métiers, l’amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise 6 la sécurité du cloud computing le temps d’un café
  • 7. invasion de services cloud en entreprise : que faire? en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs. Depuis plusieurs années (voire décennies) les directions informatiques les assomment de à savoir délais improbables allant de pair avec des coûts souscrire à un service cloud dignent du meilleur escroc. est facile et rapide : Une autre raison réside dans le fait que il suffit d’un accès internet et des services de cloud externes n’ont pas de sortir sa carte bancaire d’équivalents en interne ou encore que ceux-ci corporate. sont tout simplement bien mieux documentés et clairs que leurs versions internes. Car oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète... et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas ! Avant le cloud, les directions métiers étaient ; excusez-moi de l’expression ; “de la baise”. Avec le cloud computing elles ont désormais le choix : les directions informatiques doivent donc s’adapter et évoluer ; les directions sécurité aussi. un état de fait, une tendance qu’il n’est pas possible d’arrêter Souscrire à un service cloud est facile et rapide : il suffit d’un accès Internet et de sortir sa carte bancaire corporate. Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS (Software as a Service), les PaaS (Platform as a Service) ou même ceux de type IaaS (Infrastructure as a Service). A moins de couper les accès Internet (totalement irréaliste) ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud Services providers” dans les systèmes de filtrage d’URL ?), la tendance est à un élargissement du nombre de prestataires de services informatiques. Les directions informatique et sécurité sont donc tenues ; si elles veulent rester en place et continuer à être reconnues ; de se mettre au goût du jour et d’accompagner ce changement. la sécurité du cloud computing le temps d’un café 7
  • 8. invasion de services cloud en entreprise : que faire? il est important de s’assurer que les données tion peuvent être n at te effectivement récupérées sous un format ré-utilisable. 8 la sécurité du cloud computing le temps d’un café
  • 9. invasion de services cloud en entreprise : que faire? accompagner pour préparer l’avenir et anticiper Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l’accompagner vers cette transition vers le cloud computing. Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de “l’accompagnement” des projets que les direction informatiques. Oui, l’utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise. Illustration en deux points : la conformité et la continuité. données personnelles Une entreprise française manipulant des données personnelles est tenue d’assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l’espace européen (ou sur le sol d’un pays reconnu comme étant “suffisamment protecteur”). Tout le monde n’est pas au fait de ces aspects réglementaires (directive Européenne 95/46/EC), une direction à savoir sécurité est donc tout à fait légitime pour la loi indique que le client guider le choix (sans s’y opposer ou forcément final doit être informé que chercher à placer d’autres solutions) vers un des données personnelles fournisseur en mesure de répondre à ce besoin le concernant sont amenées de conserver les données dans une liste de à quitter la zone Europe. pays pré-établie. De la même façon, il conviendra de s’assurer que les équipes de support technique du prestataire sont bien localisées dans des pays connus. Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l’être. Dans le cas contraire, la loi indique que le client final doit être informé que des données personnelles le concernant sont la sécurité du cloud computing le temps d’un café 9
  • 10. invasion de services cloud en entreprise : que faire? amenées à quitter la zone europe (ou un pays “reconnu”) et cela doit être stipulé dans le contrat de service. continuité Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivé par une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests. Dans chacun de ces contextes d’utilisation de services cloud, il est critique d’assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi (par exemple si celui-ci viendrait à cesser ses activités). De la même façon, une société peut initier un projet grâce aux services cloud d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire. réversibilité Si ces questions relatives à la réversibilité n’ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait être prohibitif voire même dans certains cas impossible. Dans tous les cas, il est important de s’assurer que les données peuvent être effectivement récupérées sous un format ré-utilisable. Pour de l’IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles (sous un format spécifique à l’hyperviseur ou encore sous forme de fichiers OVF). Dans le domaine du PaaS, le sujet n’est pas neuf, les récents échanges de mots entre Google et Joyent (“Google Cloud Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de Big-Table sont un bon exemple du besoin d’utiliser des techniques standardisées (ou tout du moins non propriétaires) car sinon c’est le “syndrome d’enfermement” assuré. 10 la sécurité du cloud computing le temps d’un café
  • 11. invasion de services cloud en entreprise : que faire? souplesse et accompagnement La balle est dans le camp des directions informatiques et sécurité : le cloud computing est là et sera de plus en plus présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire. Le proverbe Japonais “la neige ne brise jamais les branches du saule” illustre bien le comportement à adopter  : souplesse et accompagnement sont les clefs d’une transition vers le cloud computing. l’article en ligne Invasion de services cloud en entreprise : que faire ? la sécurité du cloud computing le temps d’un café 11
  • 12. la sécurité du cloud computing le temps d’un café
  • 13. comprendre la protection des données dans le cloud comprendre la protection des données dans le cloud par Jean-François Audenard Les donneés stockées dans le cloud doivent être protégées contre les accès et les modifications non-autorisées. Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données iront croissant. La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire. Je vous propose de partager avec vous quelques idées sur ce thème. Comme nous le verrons, le cycle de vie des données est une constante qui sera un outil particulièrement utile et qui est applicable quelque soit le type de service cloud concerné. Par contre, au niveau de certaines phases de ce cycle de vie les choses se compliqueront en fonction du type de service  : on ne sécurise pas de la même façon des données dans un contexte de service de type IaaS (Infrastructure as a Service), BaaS (Backup as a Service) ou encore SaaS (Software as a Service). cycle de vie de la donnée  : modèle de référence Le cycle de vie des données dans le Cloud est décomposable en 5 grandes étapes. Les données sont transférées dans le Cloud, elles y sont stockées, utilisées, récupérées et éventuellement détruites. A chaque étape de ce cycle de vie, différentes mesures peuvent être mises en oeuvre pour assurer la sécurité des données. Les mesures de protection sont de deux types  : le contrôle la sécurité du cloud computing le temps d’un café 13
  • 14. comprendre la protection des données dans le cloud d’accès et le chiffrement. Je n’évoquerai que rapidement la première pour me focaliser sur le chiffrement. première brique essentielle : le contrôle d’accès Contrôler l’accès aux données s’appuie sur des mécanismes d’authentification : une personne (ou un système, un programme) doit montrer patte blanche afin de pouvoir accéder aux données. L’ensemble des techniques, systèmes et moyens de contrôle d’accès sont regroupés sous l’acronyme IAM (Identity and Access Management). Comme il s’agit d’un sujet très large je vous propose de le mettre de coté pour le moment. phase de transit des données : c’est maîtrisé ! Les phases liées à l’envoi des données depuis les systèmes internes d’une entreprise vers le cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l’entreprise et ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser. phase de stockage des données : ça se gâte Une fois les données arrivées dans le Cloud, celles-ci y sont 14 la sécurité du cloud computing le temps d’un café
  • 15. comprendre la protection des données dans le cloud stockées. En l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur de service. Certains d’entre-eux vont proposer des systèmes dont le fonctionnement n’est peut-être pas toujours très clair. Dans le cas où les données sont déposées dans le cloud afin d’assurer leur disponibilité (cas par exemple d’un service à savoir de type Baas - Backup as a Service), le mieux en l’absence de standards est de chiffrer les données avant de les envoyer : reconnus la mise en cette tâche incombera au client du cloud qui oeuvre des fonctions de réalisera ce traitement lui-même (ou via des chiffrement est dépendante outils mis à sa disposition par son fournisseur). du fournisseur du service Evidemment, dans le cas d’un service de type corporate. SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le client final ayant un rôle quasi inexistant (et donc une maîtrise) dans cette étape de chiffrement. Ici le contrôle d’accès (IAM) aura un rôle encore plus important que dans le cas d’un service de type BaaS ou le chiffrement peut être effectué à la source. Même si la situation n’est pas toute rose, il y a donc quelques solutions de disponibles pour les données “at rest” ou “stockées”. La situation se complique encore plus pour les données présentes dans le cloud et devant être utilisées dans ce même cloud. données utilisées dans le cloud : absence de standards Pour ce qui concerne les données présentes dans le cloud et qui doivent être utilisées depuis le cloud, il n’existe actuellement pas de solution. Afin d’illustrer mon propos, prenons l’exemple d’une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d’exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Un la sécurité du cloud computing le temps d’un café 15
  • 16. comprendre la protection des données dans le cloud sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. at t en tio n 16 la sécurité du cloud computing le temps d’un café
  • 17. comprendre la protection des données dans le cloud attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM. Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d’accès mises en place pour accéder aux données : cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le cloud (webmail, application de CRM, gestion documentaire, etc...) et la destruction des données ? le chiffrement est un allié Une fois que des données ont été récupérées depuis un cloud, il est important de s’assurer qu’elles en disparaissent bien. Outre le fait qu’il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C’est ici que le chiffrement peut nous donner un coup de main. En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C’est ce concept qui permet de s’assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de cloud vient de mettre la clef sous la porte sans prévenir. un fournisseur de confiance est essentiel A part la phase de transfert des données depuis ou vers le cloud, les moyens pour sécuriser ses données lorsqu’elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu’ils soient intégrés par la sécurité du cloud computing le temps d’un café 17
  • 18. comprendre la protection des données dans le cloud les fournisseurs de service, la confiance dans son fournisseur est un élément fondamental. La confiance vient dans le temps et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma recommandation serait de sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. Néanmoins, pas de confiance aveugle : un contrat bien ficelé et une analyse fine et approfondie de ses pratiques de sécurité sont des points de passage obligés. l’article en ligne Comprendre la protection des données dans le cloud 18 la sécurité du cloud computing le temps d’un café
  • 19. la sécurité du cloud computing le temps d’un café
  • 20. cloud iaas : 15 recommandations pour des serveurs sécurisés cloud iaas : 15 recommandations pour des serveurs sécurisés par Jean-François Audenard Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l’esprit des personnes. Cela est peut-être dû au fait que ce niveau de service bénéficie du “halo” de la virtualisation... à savoir Vous devriez commencer Dans une offre de type IaaS, le client souscrit par identifier vos besoins à un service d’hébergement d’un système sécurité pour ensuite d’exploitation tournant dans un environnement sélectionner votre virtualisé. Une fois le système livré par le fournisseur et ajouter prestataire c’est au client de sécuriser son vous-même ce qu’il ne système. L’étendue de ce travail de sécurisation propose pas dépendra des besoins du client et ce qui est fournit ou non par le prestataire. Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d’entrée de gamme. A vous de remonter vos manches et de renforcer la sécurité au niveau adéquat. 20 la sécurité du cloud computing le temps d’un café
  • 21. cloud iaas : 15 recommandations pour des serveurs sécurisés ne stockez pas vos clefs de déchiffrement at te n tion sur l’instance : celles-ci ne doivent y entrer que durant le processus de déchiffrement. la sécurité du cloud computing le temps d’un café 21
  • 22. cloud iaas : 15 recommandations pour des serveurs sécurisés Je vous donne 15 recommandations pour sécuriser une instance d’une machine virtuelle localisée en Cloud IaaS. 1. Cryptez tout le trafic réseau 2. Limitez à un le nombre de services supportés par une instance (*) 3. Renforcez la sécurité de votre système d’exploitation (Microsoft MBSA, Bastille Linux, ...) 4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc 5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...) 6. Ne stockez pas vos clefs de décryptage sur l’instance : celles-ci ne doivent y entrer que durant le processus de décryptage. 7. N’ouvrez que le minimum de ports réseau requis sur chacune des instances 8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d’exploitation que les applicatifs 9. Faites des scans de détection de vulnérabilités récurrents 10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter 11. N’utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients 12. Effectuez régulièrement des sauvegardes pour ensuite les rapatrier et les stocker en lieu sûr 13. Installez un système de détection d’intrusion au niveau du système d’exploitation (par exemple OSSEC, CISCO CSA, ...) 14. Si vous suspectez une intrusion, faites un snaphost de l’instance et stoppez-là. (*) 15. Développez vos applications de façon sécurisée (OWASP). 22 la sécurité du cloud computing le temps d’un café
  • 23. cloud iaas : 15 recommandations pour des serveurs sécurisés Normalement, pour devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d’options. Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation. PS : rien de bien magique pour un administrateur système/ sécurité expérimenté. Surtout qu’avec la virtualisation le copy/ paste d’instances virtuelles offre un niveau d’industrialisation que l’on ne connait pas dans les serveurs dédiés. Bon cloud ! l’article en ligne cloud IaaS : 15 recommandations pour des serveurs sécurisés la sécurité du cloud computing le temps d’un café 23
  • 24. la sécurité du cloud computing le temps d’un café
  • 25. forrester : la sécurité des services cloud dans le collimateur forrester : la sécurité des services cloud dans le collimateur par Jean-François Audenard Dans l’une des dernières études de Forrester intitulée “Status, Challenges, And Near-Term Tactics For Cloud Services In Enter- prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents. Avant que les entreprises fassent massivement à savoir le “grand saut” vers les services cloud, des Vous devriez commencer réponses à 7 grandes interrogations devront par identifier vos besoins être apportées par les fournisseurs de services sécurité pour ensuite dans le nuage. Le premier d’entre-eux est la sélectionner votre sécurité : “Even so, perceptions and genuine fournisseur et ajouter technical hurdles put security as one of the vous-même ce qu’il ne biggest challenges to broader enterprise cloud propose pas services adoption”. La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes. Certains affirment que la sécurité dans le nuage est impos- sible alors que d’autres défendent becs et ongles le contraire : le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s’expliquer par le fait que le niveau des technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d’autres domaines. D’un autre coté, pour certains ser- vices “cloud” on peut dire que leur niveau de sécurité est arrivé à maturité. la sécurité du cloud computing le temps d’un café 25
  • 26. forrester : la sécurité des services cloud dans le collimateur pour certains services “cloud” at ten tion on peut dire que le niveau de sécurité est arrivé à maturité. 26 la sécurité du cloud computing le temps d’un café
  • 27. forrester : la sécurité des services cloud dans le collimateur J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d’ailleurs. Pour faire un parallèle : dans le cloud on peut retrouver des termes comme “private cloud”, “public cloud” ou encore “community cloud”. Mettez en face de chacun “une plateforme de mail dédiée hebergée”, “Gmail” ou encore des “services de messagerie electroniques pour le segment des entreprises” (suivez mon regard). Pour chacun de ces services “cloud” on sait faire dans le sé- curisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun. Quelle est la recommandation de Forrester ? Plutôt simple : “intégrez la sécurité dans les choix stratégiques et dans le pro- cessus de sélection”. Ce n’est pas une surprise : les entreprises ne pouvant “out- sourcer” leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s’appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud. “Il faut intégrer la sécurité dès le début du projet” : rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s’en assurer. PS: J’ai délibérément omis de parler de tout ce qui n’était pas en relation avec la sécurité. Ce document de Forrester n’étant pas focalisé uniquement sur la sécurité. l’article en ligne Forrester : la sécurité des services cloud dans le collimateur la sécurité du cloud computing le temps d’un café 27
  • 28. la sécurité du cloud computing le temps d’un café
  • 29. 5 documents de référence sur la sécurité du cloud computing 5 documents de référence sur la sécurité du cloud computing par Jean-François Audenard Voici 5 documents que je considère comme des “références” dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l’externalisation des systèmes d’information). Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l’anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance. #1 ANSSI Maîtriser les risques de l’infogérance (En français - 56 pages) Le premier c’est le “Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui nous propose un document très didactique. L’approche prise est clairement d’accompagner le lecteur/ lectrice vers une démarche de prise en compte de la sécurité dans un projet d’externalisation d’un système d’information. A noter une section relative à la définition d’un PAS (Plan d’Assurance Sécurité) et comment contractualiser des engagements de sécurité. la sécurité du cloud computing le temps d’un café 29
  • 30. 5 documents de référence sur la sécurité du cloud computing #2 Syntec Numérique Livre Blanc sécurité du Cloud Computing (En français - 24 pages) Le second c’est celui du Syntec Numérique “Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques”. Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du cloud, l’approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données. Le document est d’une lecture aisée car il évite un formalisme trop guindé, c’est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet. #3 Cloud Security Alliance Security Guidance for Critical Areas of Cloud Computing v3.0 (En anglais - 177 pages) Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide “Security Guidance for Critical Areas of Cloud Computing Version 3.0” est une “référence-de-référence” pour tout professionel du domaine. Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous. Ce n’est que la partie hébergée de l’iceberg : la Cloud Security 30 la sécurité du cloud computing le temps d’un café
  • 31. 5 documents de référence sur la sécurité du cloud computing Alliance propose bien d’autres documents. Mon conseil  : allez fouiller sur leur site, vous ne serez pas déçu(e) ! #4 ENISA, Cloud Computing Risk Assessment (En anglais - 125 pages) Le 4ième document est celui de l’ENISA, agence Européenne spécialisée dans la sécurité des systèmes d’information. Dans leur document “Cloud Computing, Benefits, risks and recommendations for information security”, l’ENISA nous propose une vision axée sur les risques liés aux cloud computing. C’est le document le plus complet de tous sur l’approche “risques”. Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées. Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants. #5 PCI DSS Virtualization Guidelines v2.0 (En anglais - 39 pages) Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est que les règles (ou “objectifs de sécurité”) sont précis et connus d’avance. Le niveau d’exigence est clairement fort. Le guide “PCI-DSS - Information Supplement: PCI DSS la sécurité du cloud computing le temps d’un café 31
  • 32. 5 documents de référence sur la sécurité du cloud computing Virtualization Guidelines” explicite de façon claire et précise ce qu’il convient de mettre en place au niveau d’une couche de virtualisation. Pour savoir que faire pour sécuriser votre hyperviseur c’est le document qu’il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels. mes deux préférés Sur ces 5 documents de référence, mes deux préférés sont celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide de la Cloud Security Alliance concentre “l’état de l’art” dans le domaine de la sécurité du cloud computing ; celui de l’ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d’un service de cloud computing. et ce n’est pas fini : quels sont vos documents de prédilection ? J’ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d’autres comme les documents du NIST, ceux de la NSA et j’en passe.... Quels sont les documents que vous considérez comme “de référence” ? C’est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne. l’article en ligne 5 documents de référence sur la sécurité du cloud computing 32 la sécurité du cloud computing le temps d’un café
  • 33. la sécurité du cloud computing le temps d’un café
  • 34. l’auteur Jean-François Audenard Au sein d’Orange Business Services, je suis en charge d’intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j’aime aller au delà des chantiers battus et faire “bouger les codes”. La franchise est ma “touche” et l’optimisme et le volontarisme mes deux moteurs. la sécurité du cloud computing le temps d’un café
  • 35. Document téléchargeable à : http://livres-blancs.orange-business.com/ Édité par Orange Business Services 30.03.2012 la sécurité du cloud computing le temps d’un café