Robert Viseur, profile picture
Téléchargé parRobert Viseur
PDF, PPTX816 vues

The Dark Side Of The Cloud

Robert Viseur présente lors d'un atelier les enjeux du cloud computing, en détaillant les types de clouds, les risques de sécurité associés, et les préoccupations concernant la protection de la vie privée et la propriété des données. Il souligne que les inquiétudes des DSI sur la sécurité sont fondées, notamment en raison de précédents d'attaques informatiques. Viseur conclut par des recommandations sur les contrats d'externalisation et la gestion des systèmes d'information, tout en reconnaissant les avantages du cloud pour certaines applications.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? » . The Dark Side Of The Cloud . Robert Viseur (robert.viseur@cetic.be)
Qui suis-je? • Nom : Robert VISEUR (www.robertviseur.be). • Formation : Ingénieur civil en Informatique et Gestion (AIMs) et Docteur en Sciences Appliquées. • Activités professionnelles : • Ingénieur de recherche senior au CETIC (www.cetic.be). • Assistant dans le service d'Économie et de Management de l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be), UMons (www.umons.ac.be). • Compétences : ebusiness, management de l'innovation, management Open Source (modèles d'affaires, valorisation, sélection de technologies,...), moteurs de recherche (API, indexation fulltext,...),... 2
Le CETIC et le Cloud computing • Projets de recherche : • RESERVOIR (EU : FP7) • Infrastructure as a Service : framework de gestion de cloud (public, privé, hybride) avec respect des SLA et placement / migration des machines virtuelles • ComodIT (Wallonie / Europe) • Provisionnement et management automatique d'infrastructure (IaaS/PaaS) • CE-IQS (Objectif de convergence) • Equipe SST-SOA du CETIC • Composition de ressources (PaaS) • Stockage dans le Cloud : systèmes de fichiers et bases de données (NOSQL) distribués 3
Sécurité 4
Les inquiétudes sont-elles fondées ? • Selon Forrester, 68% des DSI émettent des inquiétudes quant à la sécurité des clouds. • Il y a eu des précédents pour renforcer ces craintes : • Cheval de Troie Zbot (Zeus) contre Amazon EC2 (botnet). • Opération chinoise (?) Aurora contre Google (mais aussi Symantec, Adobe Systems, Morgan Stanley,...). • Principe : exploitation d'une faille d'Internet Explorer permettant l'installation d'un malware et, ensuite, l'accès à l'Intranet de Google. 5
Quelle est la typologie des clouds ? • Il y a cloud et cloud : • Clouds privés. • Internes à l'entreprise (infrastructure virtualisée). • Clouds publics. • Externe à l'entreprise (externalisation vers un hébergeur). • Exemple : Microsoft Azure, Amazon EC2, Google App Engine,... • Clouds hybrides ou mixtes. • L'utilisation d'un cloud n'implique donc pas obligatoirement le recours à un réseau de machines extérieures au SI de l'entreprise. 6
Quelle est la typologie des risques ? • Risques internes (~70%). • Exemple : expédition d'un document confidentiel au mauvais destinataire, vols de fichiers (copie sur clef USB, piratage de copieurs informatiques,...),... • Risques externes (~30%). • Attaques sur les postes de travail (~70%). • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur Microsoft Office, sur les extensions Active X,... • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de Troie associé à un fichier PDF. • Attaques sur les serveurs (~30%). • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web, de serveurs de bases de données, d'applications ou d'erreurs de configuration,... • Sources : CERT-IST, Evidian (Bull), CNILL,... 7
Quels sont les problèmes de sécurité associés aux clouds ? • Risque d'attaque interne (malveillance) ou externe (exploitation de faille concernant directement ou indirectement l'infrastructure) sur l'hébergeur. • Risque lié à la localisation des données et des logiciels (espionnage industriel, contrefaçons, saisies judiciaires,...). • Risque d'usurpation d'identité (connexion). • Opérations de hameçonnage (phishing). • Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...). • Quels sont réellement les moyens mis en œuvre par l'hébergeur (protections techniques, procédures internes, sauvegarde, disponibilité,...) ? • « La sécurité obtenue en cachant les risques n'est qu'un leurre ». 8
Fiabilité 9
Y a-t-il des problèmes de fiabilité ? • Oui... • Exemple : Gigapanne sur Amazon (21 avril 2011). • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation d'EBS pour le stockage). • 3 jours de très fortes perturbations sur la zone « US East Region ». • 0,07% des données perdues (mais réelle transparence d'Amazon). • Cause : erreur humaine (routage) lors d'une mise à jour (pas de problème de sécurité à proprement parler -> problème de fiabilité) -> audit interne annoncé en réaction. • Causes des problèmes de fiabilité : attaques (sécurité), bug logiciel (cf. Skype), erreur humaine (cf. Amazon),... 10
Protection de la vie privée 11
Quels sont les problèmes liés à la protection de la vie privée ? • Risque de vol de données (exemple : clients, patients,...). • Causes possibles : accès aux données en interne, cloud pas sécurisé, application souffrant de failles de sécurité,... • Ne pas oublier la responsabilité du client aux yeux de la loi : mise en œuvre de mesures de protection proportionnées à la nature des données (anonymisation, chiffrement,...), séparation physique de certains types de données,... 12
Propriété des données 13
Quels sont les problèmes liés à la propriété des données ? (1/2) • Que spécifie le contrat vous liant à l'hébergeur (conditions générales d'utilisation) ? Qu'est-il prévu à la fin du contrat vous liant à lui ? • Cf. polémiques autour de Facebook. • Quelle maîtrise avez-vous réellement sur vos données ? • Récupération et exploitation de données. • Exemple d'engagement : « TIO Libre Definitions ». – OPENESS : data freedom. – FREE : data freedom, software freedom, competition freedom). 14
Quels sont les problèmes liés à la propriété des données ? (2/2) • Quelle maîtrise avez-vous réellement sur vos données (suite) ? • Problème d'intéropérabilité entre clouds. • Efforts en matière de standardisation. • Présence de plusieurs organismes (Open Grid Forum, Distributed Management Task Force, Cloud Security Alliance,...). • Exemples (logiciels IaaS) : – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds privés compatible avec différentes briques logicielles existantes. – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès uniformisé à différents technologies clouds (Amazon, Red Hat,...). • Question supplémentaire de l'accès aux données par les autorités (actions en justice). 15
Conclusion 16
A quoi dois-je faire attention (1/2) ? • Faites attention aux dispositions prévues dans le contrat vous liant à l'hébergeur (garanties de performance, responsabilités, propriété des données,...). • Faites attention à la crédibilité des promesses faites par l'hébergeur (moyens mis en œuvre). • Faites attention à la propriété des données ainsi qu'aux possibilités de migration des données et des logiciels (interopérabilité). • Faites attention à vos procédures et outils internes (règles d'accès aux données clients, procédure d'authentification,...)... • Posez vous la question du niveau de risque que vous êtes globalement prêt(e)s à prendre et... • Ne surestimez pas, en comparaison, vos propres capacités en gestion de systèmes d'information ! 17
A quoi dois-je faire attention (2/2) ? • Ces recommandations sont en fait des bonnes pratiques générales liées aux contrats d'externalisation. • Certes, le Cloud présente des limitations mais : • Les grands prestataires Cloud (Amazon, Google, Microsoft,...) sont des professionnels disposant généralement de certifications indépendantes (SAS70, ISO27001,...). • Le cloud reste excellent : • pour les charges variables et imprévisibles, • pour les données et processus non critiques. 18
Merci pour votre attention Contact: Robert VISEUR (robert.viseur@cetic.be) CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 • F. +32 71 490 799 • info@cetic.be

Contenu connexe

PDF
Protéger ses données avec de la DLP
parMarc Rousselet
 
PPT
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
parir. Carmelo Zaccone
 
PDF
MEDECINE ET MONDE 2.0
parProf. Jacques Folon (Ph.D)
 
PPT
De la Securité Informatique a l’Identite Numerique 2.0
parEric Herschkorn
 
PPTX
DSBrowser Concilier securité et simplicite
parAntoine Vigneron
 
PPT
Competitic sécurite informatique - numerique en entreprise
parCOMPETITIC
 
PPSX
La securité informatique - Etat des Lieux - Nov. 2016
parOlivier DUPONT
 
PPT
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
Protéger ses données avec de la DLP
parMarc Rousselet
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
parir. Carmelo Zaccone
 
MEDECINE ET MONDE 2.0
parProf. Jacques Folon (Ph.D)
 
De la Securité Informatique a l’Identite Numerique 2.0
parEric Herschkorn
 
DSBrowser Concilier securité et simplicite
parAntoine Vigneron
 
Competitic sécurite informatique - numerique en entreprise
parCOMPETITIC
 
La securité informatique - Etat des Lieux - Nov. 2016
parOlivier DUPONT
 
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 

Tendances

PDF
Cybercrime Update : sensibilisation
parPittet Sébastien
 
PDF
Sécurité des réseaux
parSehla Loussaief Zayen
 
PDF
Séminaire DLP : au coeur de la sécurité
pare-Xpert Solutions SA
 
PDF
Introduction a la securité informatique Volume1
parSylvain Maret
 
PPTX
Formation des dirigeants d’entreprises jan 2013 v3-2
parCédric Lefebvre
 
PDF
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
parESI Technologies
 
PDF
Le DLP vu sous un angle pragmatique
pare-Xpert Solutions SA
 
PPT
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
PPT
Securite
parOussama Jock
 
PPTX
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
parMicrosoft Ideas
 
PDF
Enjeux et évolutions de la sécurite informatique
parMaxime ALAY-EDDINE
 
PPTX
Sécurité dans le cloud
parHassan EL ALLOUSSI
 
PPT
Audit
parzan
 
PDF
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
parMaxime ALAY-EDDINE
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PDF
La securite du cloud computing le temps d un cafe - Orange Business Services
parRomain Fonnier
 
PDF
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
parPatrick Leclerc
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Securite Informatique Orthez
pararnaudm
 
PDF
IoT, Sécurité et Santé: un cocktail détonnant ?
parAntoine Vigneron
 
Cybercrime Update : sensibilisation
parPittet Sébastien
 
Sécurité des réseaux
parSehla Loussaief Zayen
 
Séminaire DLP : au coeur de la sécurité
pare-Xpert Solutions SA
 
Introduction a la securité informatique Volume1
parSylvain Maret
 
Formation des dirigeants d’entreprises jan 2013 v3-2
parCédric Lefebvre
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
parESI Technologies
 
Le DLP vu sous un angle pragmatique
pare-Xpert Solutions SA
 
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
Securite
parOussama Jock
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
parMicrosoft Ideas
 
Enjeux et évolutions de la sécurite informatique
parMaxime ALAY-EDDINE
 
Sécurité dans le cloud
parHassan EL ALLOUSSI
 
Audit
parzan
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
parMaxime ALAY-EDDINE
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
La securite du cloud computing le temps d un cafe - Orange Business Services
parRomain Fonnier
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
parPatrick Leclerc
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Securite Informatique Orthez
pararnaudm
 
IoT, Sécurité et Santé: un cocktail détonnant ?
parAntoine Vigneron
 

En vedette

PDF
La sécurité et le Cloud Computing
parTactika inc.
 
PDF
#DataUnlimited - Google Big Data Unlimited
parAudrey Huvet
 
PDF
Google cloud big data summit master gcp big data summit la - 10-20-2015
parRaj Babu
 
PDF
Virtualisation Cloud Computing Saas Open Source
parParis, France
 
PDF
Introduction to Cloud Computing and Open Source solutions
parAmineAbida
 
PDF
De l’open source à l’open cloud
parRobert Viseur
 
PDF
Openstack proposition
parRomuald Franck
 
PDF
Issues on Big Data & Cloud Computing
parSeungyun Lee
 
PPT
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
parClub Alliances
 
ODP
Sécurite Amazon Web Services
parAurélien Pelletier
 
PPTX
Présentation cloud computing
parCynapsys It Hotspot
 
PDF
Faut il avoir peur du Cloud ? (USI 2011)
parGuillaume Plouin
 
PPTX
Cloud computing
parHeithem Abbes
 
PPTX
Introduction aux systèmes répartis
parHeithem Abbes
 
PPTX
Windows - Cloud Azure
parValtech
 
PPTX
Slides cloud computing
parHaslina
 
PDF
Le Cloud Computing et ses applications collaboratives
parXWiki
 
PDF
Conférence sur la sécurité Cloud Computing
parInstitut Poly Informatique
 
PDF
Webinar Smile - Découvrez OpenStack, solution de cloud computing pour déploye...
parSmile I.T is open
 
ODP
Cloud computing & logiciels libres JDLL 2009
parPhilippe Scoffoni
 
La sécurité et le Cloud Computing
parTactika inc.
 
#DataUnlimited - Google Big Data Unlimited
parAudrey Huvet
 
Google cloud big data summit master gcp big data summit la - 10-20-2015
parRaj Babu
 
Virtualisation Cloud Computing Saas Open Source
parParis, France
 
Introduction to Cloud Computing and Open Source solutions
parAmineAbida
 
De l’open source à l’open cloud
parRobert Viseur
 
Openstack proposition
parRomuald Franck
 
Issues on Big Data & Cloud Computing
parSeungyun Lee
 
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
parClub Alliances
 
Sécurite Amazon Web Services
parAurélien Pelletier
 
Présentation cloud computing
parCynapsys It Hotspot
 
Faut il avoir peur du Cloud ? (USI 2011)
parGuillaume Plouin
 
Cloud computing
parHeithem Abbes
 
Introduction aux systèmes répartis
parHeithem Abbes
 
Windows - Cloud Azure
parValtech
 
Slides cloud computing
parHaslina
 
Le Cloud Computing et ses applications collaboratives
parXWiki
 
Conférence sur la sécurité Cloud Computing
parInstitut Poly Informatique
 
Webinar Smile - Découvrez OpenStack, solution de cloud computing pour déploye...
parSmile I.T is open
 
Cloud computing & logiciels libres JDLL 2009
parPhilippe Scoffoni
 

Similaire à The Dark Side Of The Cloud

PPTX
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
parYann Riviere CCSK, CISSP, CRISC, CISM
 
PDF
Cloud Computing
parNicolas Roberge
 
PDF
sécurité du cloud... un nuage à multiples facettes
parOrange Business Services
 
PPTX
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
parMicrosoft Décideurs IT
 
PDF
Le bon, la brute et le truand dans les nuages
parConFoo
 
PDF
2011 03-09-cloud sgi
parSébastien GIORIA
 
PPT
ch1-cours2016.ppt
parManellansari
 
PPTX
Solution sécurité les pours et les contres siveton
parCLDEM
 
PPTX
Ti region cloud_computing_vsiveton
parvsiveton
 
PPTX
Cloud computing : le nouveau paradigme
parljaquet
 
PDF
367817937-Virtualisation-Et-hhhhhhhhhhhhhhhhhhCloud-1.pdf
parRihabBENLAMINE
 
PDF
Livre Blanc Cloud Computing / Sécurité
parSyntec Numérique
 
PDF
Livre blanc cloud_computing_securitã©.vdef
parkeithowen
 
PDF
Moulaison.milieux.doc.2011
parUniversity of Missouri
 
PDF
Livre blanc la+securisation+des+donnees
parMarc Bourhis
 
PPTX
Cloud computing et les entreprises
parIshakHAMEDDAH
 
PDF
Numergy la sécurité des données dans le cloud
parBee_Ware
 
PDF
sécurité dans le cloud computing.pdf
parhasna920888
 
PDF
Données en ligne
parChristophe Catarina
 
PPT
1_Cloud_Compjghjgjgjgjgjgjgjgjgjgjgjguting.ppt
parssuser80a7e81
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
parYann Riviere CCSK, CISSP, CRISC, CISM
 
Cloud Computing
parNicolas Roberge
 
sécurité du cloud... un nuage à multiples facettes
parOrange Business Services
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
parMicrosoft Décideurs IT
 
Le bon, la brute et le truand dans les nuages
parConFoo
 
2011 03-09-cloud sgi
parSébastien GIORIA
 
ch1-cours2016.ppt
parManellansari
 
Solution sécurité les pours et les contres siveton
parCLDEM
 
Ti region cloud_computing_vsiveton
parvsiveton
 
Cloud computing : le nouveau paradigme
parljaquet
 
367817937-Virtualisation-Et-hhhhhhhhhhhhhhhhhhCloud-1.pdf
parRihabBENLAMINE
 
Livre Blanc Cloud Computing / Sécurité
parSyntec Numérique
 
Livre blanc cloud_computing_securitã©.vdef
parkeithowen
 
Moulaison.milieux.doc.2011
parUniversity of Missouri
 
Livre blanc la+securisation+des+donnees
parMarc Bourhis
 
Cloud computing et les entreprises
parIshakHAMEDDAH
 
Numergy la sécurité des données dans le cloud
parBee_Ware
 
sécurité dans le cloud computing.pdf
parhasna920888
 
Données en ligne
parChristophe Catarina
 
1_Cloud_Compjghjgjgjgjgjgjgjgjgjgjgjguting.ppt
parssuser80a7e81
 

Plus de Robert Viseur

PDF
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
parRobert Viseur
 
PDF
L'écosystème régional du Big Data
parRobert Viseur
 
PDF
Piloter son appareil photo numérique avec des logiciels libres
parRobert Viseur
 
PDF
Exploiter les données issues de Wikipedia
parRobert Viseur
 
PDF
Développer ses photos avec RawTherapee
parRobert Viseur
 
PDF
Convertir ses photos en N/B avec Gimp
parRobert Viseur
 
PDF
L'open hardware : l'ouverture au service de l'innovation
parRobert Viseur
 
PDF
Pechakucha (Mons) : Street Art à Mons
parRobert Viseur
 
PDF
L'open hardware dans l'électronique (et au delà...)
parRobert Viseur
 
PDF
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
parRobert Viseur
 
PDF
Open Source Hardware for Dummies
parRobert Viseur
 
PDF
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
parRobert Viseur
 
PDF
Etude du secteur des prestataires FLOSS en Belgique
parRobert Viseur
 
PDF
Hacker son appareil photo avec des outils libres
parRobert Viseur
 
PDF
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
parRobert Viseur
 
PDF
Hacker son appareil photo, c'est possible !
parRobert Viseur
 
PDF
Comprendre les licences de logiciels libres
parRobert Viseur
 
PDF
Impact of cloud computing on FOSS editors
parRobert Viseur
 
PDF
Une introduction à la co-création dans le domaine des TIC
parRobert Viseur
 
PDF
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
parRobert Viseur
 
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
parRobert Viseur
 
L'écosystème régional du Big Data
parRobert Viseur
 
Piloter son appareil photo numérique avec des logiciels libres
parRobert Viseur
 
Exploiter les données issues de Wikipedia
parRobert Viseur
 
Développer ses photos avec RawTherapee
parRobert Viseur
 
Convertir ses photos en N/B avec Gimp
parRobert Viseur
 
L'open hardware : l'ouverture au service de l'innovation
parRobert Viseur
 
Pechakucha (Mons) : Street Art à Mons
parRobert Viseur
 
L'open hardware dans l'électronique (et au delà...)
parRobert Viseur
 
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
parRobert Viseur
 
Open Source Hardware for Dummies
parRobert Viseur
 
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
parRobert Viseur
 
Etude du secteur des prestataires FLOSS en Belgique
parRobert Viseur
 
Hacker son appareil photo avec des outils libres
parRobert Viseur
 
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
parRobert Viseur
 
Hacker son appareil photo, c'est possible !
parRobert Viseur
 
Comprendre les licences de logiciels libres
parRobert Viseur
 
Impact of cloud computing on FOSS editors
parRobert Viseur
 
Une introduction à la co-création dans le domaine des TIC
parRobert Viseur
 
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
parRobert Viseur
 

The Dark Side Of The Cloud

  • 1.
    Rewics (04 mai2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? » . The Dark Side Of The Cloud . Robert Viseur (robert.viseur@cetic.be)
  • 2.
    Qui suis-je? • Nom :Robert VISEUR (www.robertviseur.be). • Formation : Ingénieur civil en Informatique et Gestion (AIMs) et Docteur en Sciences Appliquées. • Activités professionnelles : • Ingénieur de recherche senior au CETIC (www.cetic.be). • Assistant dans le service d'Économie et de Management de l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be), UMons (www.umons.ac.be). • Compétences : ebusiness, management de l'innovation, management Open Source (modèles d'affaires, valorisation, sélection de technologies,...), moteurs de recherche (API, indexation fulltext,...),... 2
  • 3.
    Le CETIC etle Cloud computing • Projets de recherche : • RESERVOIR (EU : FP7) • Infrastructure as a Service : framework de gestion de cloud (public, privé, hybride) avec respect des SLA et placement / migration des machines virtuelles • ComodIT (Wallonie / Europe) • Provisionnement et management automatique d'infrastructure (IaaS/PaaS) • CE-IQS (Objectif de convergence) • Equipe SST-SOA du CETIC • Composition de ressources (PaaS) • Stockage dans le Cloud : systèmes de fichiers et bases de données (NOSQL) distribués 3
  • 4.
  • 5.
    Les inquiétudes sont-ellesfondées ? • Selon Forrester, 68% des DSI émettent des inquiétudes quant à la sécurité des clouds. • Il y a eu des précédents pour renforcer ces craintes : • Cheval de Troie Zbot (Zeus) contre Amazon EC2 (botnet). • Opération chinoise (?) Aurora contre Google (mais aussi Symantec, Adobe Systems, Morgan Stanley,...). • Principe : exploitation d'une faille d'Internet Explorer permettant l'installation d'un malware et, ensuite, l'accès à l'Intranet de Google. 5
  • 6.
    Quelle est latypologie des clouds ? • Il y a cloud et cloud : • Clouds privés. • Internes à l'entreprise (infrastructure virtualisée). • Clouds publics. • Externe à l'entreprise (externalisation vers un hébergeur). • Exemple : Microsoft Azure, Amazon EC2, Google App Engine,... • Clouds hybrides ou mixtes. • L'utilisation d'un cloud n'implique donc pas obligatoirement le recours à un réseau de machines extérieures au SI de l'entreprise. 6
  • 7.
    Quelle est latypologie des risques ? • Risques internes (~70%). • Exemple : expédition d'un document confidentiel au mauvais destinataire, vols de fichiers (copie sur clef USB, piratage de copieurs informatiques,...),... • Risques externes (~30%). • Attaques sur les postes de travail (~70%). • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur Microsoft Office, sur les extensions Active X,... • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de Troie associé à un fichier PDF. • Attaques sur les serveurs (~30%). • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web, de serveurs de bases de données, d'applications ou d'erreurs de configuration,... • Sources : CERT-IST, Evidian (Bull), CNILL,... 7
  • 8.
    Quels sont lesproblèmes de sécurité associés aux clouds ? • Risque d'attaque interne (malveillance) ou externe (exploitation de faille concernant directement ou indirectement l'infrastructure) sur l'hébergeur. • Risque lié à la localisation des données et des logiciels (espionnage industriel, contrefaçons, saisies judiciaires,...). • Risque d'usurpation d'identité (connexion). • Opérations de hameçonnage (phishing). • Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...). • Quels sont réellement les moyens mis en œuvre par l'hébergeur (protections techniques, procédures internes, sauvegarde, disponibilité,...) ? • « La sécurité obtenue en cachant les risques n'est qu'un leurre ». 8
  • 9.
  • 10.
    Y a-t-il desproblèmes de fiabilité ? • Oui... • Exemple : Gigapanne sur Amazon (21 avril 2011). • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation d'EBS pour le stockage). • 3 jours de très fortes perturbations sur la zone « US East Region ». • 0,07% des données perdues (mais réelle transparence d'Amazon). • Cause : erreur humaine (routage) lors d'une mise à jour (pas de problème de sécurité à proprement parler -> problème de fiabilité) -> audit interne annoncé en réaction. • Causes des problèmes de fiabilité : attaques (sécurité), bug logiciel (cf. Skype), erreur humaine (cf. Amazon),... 10
  • 11.
    Protection de lavie privée 11
  • 12.
    Quels sont lesproblèmes liés à la protection de la vie privée ? • Risque de vol de données (exemple : clients, patients,...). • Causes possibles : accès aux données en interne, cloud pas sécurisé, application souffrant de failles de sécurité,... • Ne pas oublier la responsabilité du client aux yeux de la loi : mise en œuvre de mesures de protection proportionnées à la nature des données (anonymisation, chiffrement,...), séparation physique de certains types de données,... 12
  • 13.
  • 14.
    Quels sont lesproblèmes liés à la propriété des données ? (1/2) • Que spécifie le contrat vous liant à l'hébergeur (conditions générales d'utilisation) ? Qu'est-il prévu à la fin du contrat vous liant à lui ? • Cf. polémiques autour de Facebook. • Quelle maîtrise avez-vous réellement sur vos données ? • Récupération et exploitation de données. • Exemple d'engagement : « TIO Libre Definitions ». – OPENESS : data freedom. – FREE : data freedom, software freedom, competition freedom). 14
  • 15.
    Quels sont lesproblèmes liés à la propriété des données ? (2/2) • Quelle maîtrise avez-vous réellement sur vos données (suite) ? • Problème d'intéropérabilité entre clouds. • Efforts en matière de standardisation. • Présence de plusieurs organismes (Open Grid Forum, Distributed Management Task Force, Cloud Security Alliance,...). • Exemples (logiciels IaaS) : – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds privés compatible avec différentes briques logicielles existantes. – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès uniformisé à différents technologies clouds (Amazon, Red Hat,...). • Question supplémentaire de l'accès aux données par les autorités (actions en justice). 15
  • 16.
  • 17.
    A quoi dois-jefaire attention (1/2) ? • Faites attention aux dispositions prévues dans le contrat vous liant à l'hébergeur (garanties de performance, responsabilités, propriété des données,...). • Faites attention à la crédibilité des promesses faites par l'hébergeur (moyens mis en œuvre). • Faites attention à la propriété des données ainsi qu'aux possibilités de migration des données et des logiciels (interopérabilité). • Faites attention à vos procédures et outils internes (règles d'accès aux données clients, procédure d'authentification,...)... • Posez vous la question du niveau de risque que vous êtes globalement prêt(e)s à prendre et... • Ne surestimez pas, en comparaison, vos propres capacités en gestion de systèmes d'information ! 17
  • 18.
    A quoi dois-jefaire attention (2/2) ? • Ces recommandations sont en fait des bonnes pratiques générales liées aux contrats d'externalisation. • Certes, le Cloud présente des limitations mais : • Les grands prestataires Cloud (Amazon, Google, Microsoft,...) sont des professionnels disposant généralement de certifications indépendantes (SAS70, ISO27001,...). • Le cloud reste excellent : • pour les charges variables et imprévisibles, • pour les données et processus non critiques. 18
  • 19.
    Merci pour votreattention Contact: Robert VISEUR (robert.viseur@cetic.be) CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 • F. +32 71 490 799 • info@cetic.be