SlideShare une entreprise Scribd logo
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
     (cloud computing) : vraie révolution ou pétard mouillé ? »
                                                                .


               The Dark Side Of The Cloud                       .

                          Robert Viseur (robert.viseur@cetic.be)
Qui suis-je?

• Nom : Robert VISEUR (www.robertviseur.be).
• Formation : Ingénieur civil en Informatique et Gestion (AIMs)
  et Docteur en Sciences Appliquées.
• Activités professionnelles :
   • Ingénieur de recherche senior au CETIC (www.cetic.be).
   • Assistant dans le service d'Économie et de Management de
     l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be),
     UMons (www.umons.ac.be).
• Compétences : ebusiness, management de l'innovation,
  management Open Source (modèles d'affaires, valorisation,
  sélection de technologies,...), moteurs de recherche (API,
  indexation fulltext,...),...

                                                                         2
Le CETIC et le Cloud computing

• Projets de recherche :
  • RESERVOIR (EU : FP7)
     • Infrastructure as a Service : framework de
       gestion de cloud (public, privé, hybride) avec
       respect des SLA et placement / migration des
       machines virtuelles
  • ComodIT (Wallonie / Europe)
     • Provisionnement et management automatique
       d'infrastructure (IaaS/PaaS)
  • CE-IQS (Objectif de convergence)
     • Equipe SST-SOA du CETIC
     • Composition de ressources (PaaS)
     • Stockage dans le Cloud : systèmes de fichiers et
       bases de données (NOSQL) distribués

                                                          3
Sécurité




       4
Les inquiétudes sont-elles fondées ?

• Selon Forrester, 68% des DSI émettent des
  inquiétudes quant à la sécurité des clouds.
• Il y a eu des précédents pour renforcer ces craintes :
   • Cheval de Troie Zbot (Zeus) contre Amazon EC2
     (botnet).
   • Opération chinoise (?) Aurora contre Google (mais aussi
     Symantec, Adobe Systems, Morgan Stanley,...).
      • Principe : exploitation d'une faille d'Internet Explorer
        permettant l'installation d'un malware et, ensuite, l'accès à
        l'Intranet de Google.



                                                                        5
Quelle est la typologie des clouds ?

• Il y a cloud et cloud :
   • Clouds privés.
      • Internes à l'entreprise (infrastructure virtualisée).
   • Clouds publics.
      • Externe à l'entreprise (externalisation vers un hébergeur).
      • Exemple : Microsoft Azure, Amazon EC2, Google App
        Engine,...
   • Clouds hybrides ou mixtes.
• L'utilisation d'un cloud n'implique donc pas
  obligatoirement le recours à un réseau de
  machines extérieures au SI de l'entreprise.
                                                                      6
Quelle est la typologie des risques ?

• Risques internes (~70%).
      • Exemple : expédition d'un document confidentiel au mauvais destinataire,
        vols de fichiers (copie sur clef USB, piratage de copieurs
        informatiques,...),...
• Risques externes (~30%).
   • Attaques sur les postes de travail (~70%).
      • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur
        Microsoft Office, sur les extensions Active X,...
      • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de
        Troie associé à un fichier PDF.
   • Attaques sur les serveurs (~30%).
      • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web,
        de serveurs de bases de données, d'applications ou d'erreurs de
        configuration,...
• Sources : CERT-IST, Evidian (Bull), CNILL,...
                                                                                       7
Quels sont les problèmes de
                 sécurité associés aux clouds ?
• Risque d'attaque interne (malveillance) ou externe (exploitation
  de faille concernant directement ou indirectement
  l'infrastructure) sur l'hébergeur.
  • Risque lié à la localisation des données et des logiciels (espionnage
    industriel, contrefaçons, saisies judiciaires,...).
• Risque d'usurpation d'identité (connexion).
  • Opérations de hameçonnage (phishing).
• Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...).
• Quels sont réellement les moyens mis en œuvre par l'hébergeur
  (protections techniques, procédures internes, sauvegarde,
  disponibilité,...) ?
  • « La sécurité obtenue en cachant les risques n'est qu'un leurre ».

                                                                         8
Fiabilité




        9
Y a-t-il des problèmes de fiabilité ?

• Oui...
• Exemple : Gigapanne sur Amazon (21 avril 2011).
   • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation
     d'EBS pour le stockage).
   • 3 jours de très fortes perturbations sur la zone « US East Region ».
   • 0,07% des données perdues (mais réelle transparence d'Amazon).
   • Cause : erreur humaine (routage) lors d'une mise à jour (pas de
     problème de sécurité à proprement parler -> problème de
     fiabilité) -> audit interne annoncé en réaction.
• Causes des problèmes de fiabilité : attaques (sécurité), bug
  logiciel (cf. Skype), erreur humaine (cf. Amazon),...



                                                                            10
Protection de la vie privée




                          11
Quels sont les problèmes liés à la
             protection de la vie privée ?
• Risque de vol de données (exemple : clients,
  patients,...).
   • Causes possibles : accès aux données en interne,
     cloud pas sécurisé, application souffrant de failles
     de sécurité,...
• Ne pas oublier la responsabilité du client aux yeux
  de la loi : mise en œuvre de mesures de protection
  proportionnées à la nature des données
  (anonymisation, chiffrement,...), séparation
  physique de certains types de données,...

                                                            12
Propriété des données




                    13
Quels sont les problèmes liés à la
           propriété des données ? (1/2)
• Que spécifie le contrat vous liant à l'hébergeur
  (conditions générales d'utilisation) ? Qu'est-il prévu
  à la fin du contrat vous liant à lui ?
   • Cf. polémiques autour de Facebook.
• Quelle maîtrise avez-vous réellement sur vos
  données ?
   • Récupération et exploitation de données.
      • Exemple d'engagement : « TIO Libre Definitions ».
         – OPENESS : data freedom.
         – FREE : data freedom, software freedom, competition
           freedom).

                                                                14
Quels sont les problèmes liés à la
             propriété des données ? (2/2)
• Quelle maîtrise avez-vous réellement sur vos
  données (suite) ?
   • Problème d'intéropérabilité entre clouds.
      • Efforts en matière de standardisation.
      • Présence de plusieurs organismes (Open Grid Forum, Distributed
        Management Task Force, Cloud Security Alliance,...).
      • Exemples (logiciels IaaS) :
         – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds
           privés compatible avec différentes briques logicielles existantes.
         – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès
           uniformisé à différents technologies clouds (Amazon, Red Hat,...).

• Question supplémentaire de l'accès aux données par les
  autorités (actions en justice).


                                                                                   15
Conclusion




         16
A quoi dois-je faire
                                       attention (1/2) ?
• Faites attention aux dispositions prévues dans le contrat vous liant à
  l'hébergeur (garanties de performance, responsabilités, propriété
  des données,...).
• Faites attention à la crédibilité des promesses faites par l'hébergeur
  (moyens mis en œuvre).
• Faites attention à la propriété des données ainsi qu'aux possibilités
  de migration des données et des logiciels (interopérabilité).
• Faites attention à vos procédures et outils internes (règles d'accès
  aux données clients, procédure d'authentification,...)...
• Posez vous la question du niveau de risque que vous êtes
  globalement prêt(e)s à prendre et...
• Ne surestimez pas, en comparaison, vos propres capacités en gestion
  de systèmes d'information !

                                                                       17
A quoi dois-je faire
                                   attention (2/2) ?
• Ces recommandations sont en fait des bonnes
  pratiques générales liées aux contrats
  d'externalisation.
• Certes, le Cloud présente des limitations mais :
   • Les grands prestataires Cloud (Amazon, Google,
     Microsoft,...) sont des professionnels disposant
     généralement de certifications indépendantes
     (SAS70, ISO27001,...).
   • Le cloud reste excellent :
      • pour les charges variables et imprévisibles,
      • pour les données et processus non critiques.
                                                        18
Merci pour votre attention
                                       Contact: Robert VISEUR (robert.viseur@cetic.be)




CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 •   F. +32 71 490 799 • info@cetic.be

Contenu connexe

Tendances

Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
Pittet Sébastien
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
e-Xpert Solutions SA
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Sylvain Maret
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
ESI Technologies
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
e-Xpert Solutions SA
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Microsoft Ideas
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
Hassan EL ALLOUSSI
 
Audit
AuditAudit
Audit
zan
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
arnaudm
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
Antoine Vigneron
 

Tendances (20)

Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Securite
SecuriteSecurite
Securite
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Audit
AuditAudit
Audit
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 

En vedette

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
Tactika inc.
 
#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited
Audrey Huvet
 
Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit   master gcp big data summit la - 10-20-2015Google cloud big data summit   master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015
Raj Babu
 
Virtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open SourceVirtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open Source
Paris, France
 
Introduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutionsIntroduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutions
AmineAbida
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
Robert Viseur
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack proposition
Romuald Franck
 
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
Amazon Web Services
 
Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing
Seungyun Lee
 
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
Club Alliances
 
Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?
Amazon Web Services
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
Aurélien Pelletier
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
Cynapsys It Hotspot
 
Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)
Guillaume Plouin
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Heithem Abbes
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartis
Heithem Abbes
 
Windows - Cloud Azure
Windows - Cloud AzureWindows - Cloud Azure
Windows - Cloud Azure
Valtech
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nuls
Olivier DUPONT
 
Slides cloud computing
Slides cloud computingSlides cloud computing
Slides cloud computing
Haslina
 
Le Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaborativesLe Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaboratives
XWiki
 

En vedette (20)

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited
 
Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit   master gcp big data summit la - 10-20-2015Google cloud big data summit   master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015
 
Virtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open SourceVirtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open Source
 
Introduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutionsIntroduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutions
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack proposition
 
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
 
Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing
 
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
 
Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartis
 
Windows - Cloud Azure
Windows - Cloud AzureWindows - Cloud Azure
Windows - Cloud Azure
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nuls
 
Slides cloud computing
Slides cloud computingSlides cloud computing
Slides cloud computing
 
Le Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaborativesLe Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaboratives
 

Similaire à The Dark Side Of The Cloud

Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
Institut Poly Informatique
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Chiheb Ouaghlani
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Infonuagique retour d'expérience
 Infonuagique   retour d'expérience Infonuagique   retour d'expérience
Infonuagique retour d'expérienceClaude Coulombe
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Microsoft
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Abf Gaetan Rouyer
Abf Gaetan RouyerAbf Gaetan Rouyer
Abf Gaetan Rouyer
Bibliolab
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Nicolas Roberge
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Sylvain Cortes
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
Patrick Bouillaud
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
Mondher Smii
 
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Robert Viseur
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
Mohamed Belhadj
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 

Similaire à The Dark Side Of The Cloud (20)

Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
Infonuagique retour d'expérience
 Infonuagique   retour d'expérience Infonuagique   retour d'expérience
Infonuagique retour d'expérience
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Abf Gaetan Rouyer
Abf Gaetan RouyerAbf Gaetan Rouyer
Abf Gaetan Rouyer
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligne
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

Plus de Robert Viseur

La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
Robert Viseur
 
L'écosystème régional du Big Data
L'écosystème régional du Big DataL'écosystème régional du Big Data
L'écosystème régional du Big Data
Robert Viseur
 
Piloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo  numérique avec des logiciels  libresPiloter son appareil photo  numérique avec des logiciels  libres
Piloter son appareil photo numérique avec des logiciels libres
Robert Viseur
 
Exploiter les données issues de Wikipedia
Exploiter les données issues de WikipediaExploiter les données issues de Wikipedia
Exploiter les données issues de Wikipedia
Robert Viseur
 
Développer ses photos avec RawTherapee
Développer ses photos avec RawTherapeeDévelopper ses photos avec RawTherapee
Développer ses photos avec RawTherapee
Robert Viseur
 
Convertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec GimpConvertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec Gimp
Robert Viseur
 
L'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovationL'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovation
Robert Viseur
 
Pechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à MonsPechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à Mons
Robert Viseur
 
L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)
Robert Viseur
 
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatifAnalyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
Robert Viseur
 
Open Source Hardware for Dummies
Open Source Hardware for DummiesOpen Source Hardware for Dummies
Open Source Hardware for Dummies
Robert Viseur
 
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Robert Viseur
 
Etude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en BelgiqueEtude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en Belgique
Robert Viseur
 
Hacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libresHacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libres
Robert Viseur
 
Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !
Robert Viseur
 
Comprendre les licences de logiciels libres
Comprendre les licences de logiciels libresComprendre les licences de logiciels libres
Comprendre les licences de logiciels libres
Robert Viseur
 
Impact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editorsImpact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editors
Robert Viseur
 
Une introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TICUne introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TIC
Robert Viseur
 
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / EcosystemfOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
Robert Viseur
 
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Robert Viseur
 

Plus de Robert Viseur (20)

La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
 
L'écosystème régional du Big Data
L'écosystème régional du Big DataL'écosystème régional du Big Data
L'écosystème régional du Big Data
 
Piloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo  numérique avec des logiciels  libresPiloter son appareil photo  numérique avec des logiciels  libres
Piloter son appareil photo numérique avec des logiciels libres
 
Exploiter les données issues de Wikipedia
Exploiter les données issues de WikipediaExploiter les données issues de Wikipedia
Exploiter les données issues de Wikipedia
 
Développer ses photos avec RawTherapee
Développer ses photos avec RawTherapeeDévelopper ses photos avec RawTherapee
Développer ses photos avec RawTherapee
 
Convertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec GimpConvertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec Gimp
 
L'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovationL'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovation
 
Pechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à MonsPechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à Mons
 
L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)
 
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatifAnalyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
 
Open Source Hardware for Dummies
Open Source Hardware for DummiesOpen Source Hardware for Dummies
Open Source Hardware for Dummies
 
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
 
Etude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en BelgiqueEtude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en Belgique
 
Hacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libresHacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libres
 
Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !
 
Comprendre les licences de logiciels libres
Comprendre les licences de logiciels libresComprendre les licences de logiciels libres
Comprendre les licences de logiciels libres
 
Impact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editorsImpact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editors
 
Une introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TICUne introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TIC
 
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / EcosystemfOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
 
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
 

Dernier

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 

Dernier (6)

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 

The Dark Side Of The Cloud

  • 1. Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? » . The Dark Side Of The Cloud . Robert Viseur (robert.viseur@cetic.be)
  • 2. Qui suis-je? • Nom : Robert VISEUR (www.robertviseur.be). • Formation : Ingénieur civil en Informatique et Gestion (AIMs) et Docteur en Sciences Appliquées. • Activités professionnelles : • Ingénieur de recherche senior au CETIC (www.cetic.be). • Assistant dans le service d'Économie et de Management de l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be), UMons (www.umons.ac.be). • Compétences : ebusiness, management de l'innovation, management Open Source (modèles d'affaires, valorisation, sélection de technologies,...), moteurs de recherche (API, indexation fulltext,...),... 2
  • 3. Le CETIC et le Cloud computing • Projets de recherche : • RESERVOIR (EU : FP7) • Infrastructure as a Service : framework de gestion de cloud (public, privé, hybride) avec respect des SLA et placement / migration des machines virtuelles • ComodIT (Wallonie / Europe) • Provisionnement et management automatique d'infrastructure (IaaS/PaaS) • CE-IQS (Objectif de convergence) • Equipe SST-SOA du CETIC • Composition de ressources (PaaS) • Stockage dans le Cloud : systèmes de fichiers et bases de données (NOSQL) distribués 3
  • 5. Les inquiétudes sont-elles fondées ? • Selon Forrester, 68% des DSI émettent des inquiétudes quant à la sécurité des clouds. • Il y a eu des précédents pour renforcer ces craintes : • Cheval de Troie Zbot (Zeus) contre Amazon EC2 (botnet). • Opération chinoise (?) Aurora contre Google (mais aussi Symantec, Adobe Systems, Morgan Stanley,...). • Principe : exploitation d'une faille d'Internet Explorer permettant l'installation d'un malware et, ensuite, l'accès à l'Intranet de Google. 5
  • 6. Quelle est la typologie des clouds ? • Il y a cloud et cloud : • Clouds privés. • Internes à l'entreprise (infrastructure virtualisée). • Clouds publics. • Externe à l'entreprise (externalisation vers un hébergeur). • Exemple : Microsoft Azure, Amazon EC2, Google App Engine,... • Clouds hybrides ou mixtes. • L'utilisation d'un cloud n'implique donc pas obligatoirement le recours à un réseau de machines extérieures au SI de l'entreprise. 6
  • 7. Quelle est la typologie des risques ? • Risques internes (~70%). • Exemple : expédition d'un document confidentiel au mauvais destinataire, vols de fichiers (copie sur clef USB, piratage de copieurs informatiques,...),... • Risques externes (~30%). • Attaques sur les postes de travail (~70%). • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur Microsoft Office, sur les extensions Active X,... • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de Troie associé à un fichier PDF. • Attaques sur les serveurs (~30%). • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web, de serveurs de bases de données, d'applications ou d'erreurs de configuration,... • Sources : CERT-IST, Evidian (Bull), CNILL,... 7
  • 8. Quels sont les problèmes de sécurité associés aux clouds ? • Risque d'attaque interne (malveillance) ou externe (exploitation de faille concernant directement ou indirectement l'infrastructure) sur l'hébergeur. • Risque lié à la localisation des données et des logiciels (espionnage industriel, contrefaçons, saisies judiciaires,...). • Risque d'usurpation d'identité (connexion). • Opérations de hameçonnage (phishing). • Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...). • Quels sont réellement les moyens mis en œuvre par l'hébergeur (protections techniques, procédures internes, sauvegarde, disponibilité,...) ? • « La sécurité obtenue en cachant les risques n'est qu'un leurre ». 8
  • 10. Y a-t-il des problèmes de fiabilité ? • Oui... • Exemple : Gigapanne sur Amazon (21 avril 2011). • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation d'EBS pour le stockage). • 3 jours de très fortes perturbations sur la zone « US East Region ». • 0,07% des données perdues (mais réelle transparence d'Amazon). • Cause : erreur humaine (routage) lors d'une mise à jour (pas de problème de sécurité à proprement parler -> problème de fiabilité) -> audit interne annoncé en réaction. • Causes des problèmes de fiabilité : attaques (sécurité), bug logiciel (cf. Skype), erreur humaine (cf. Amazon),... 10
  • 11. Protection de la vie privée 11
  • 12. Quels sont les problèmes liés à la protection de la vie privée ? • Risque de vol de données (exemple : clients, patients,...). • Causes possibles : accès aux données en interne, cloud pas sécurisé, application souffrant de failles de sécurité,... • Ne pas oublier la responsabilité du client aux yeux de la loi : mise en œuvre de mesures de protection proportionnées à la nature des données (anonymisation, chiffrement,...), séparation physique de certains types de données,... 12
  • 14. Quels sont les problèmes liés à la propriété des données ? (1/2) • Que spécifie le contrat vous liant à l'hébergeur (conditions générales d'utilisation) ? Qu'est-il prévu à la fin du contrat vous liant à lui ? • Cf. polémiques autour de Facebook. • Quelle maîtrise avez-vous réellement sur vos données ? • Récupération et exploitation de données. • Exemple d'engagement : « TIO Libre Definitions ». – OPENESS : data freedom. – FREE : data freedom, software freedom, competition freedom). 14
  • 15. Quels sont les problèmes liés à la propriété des données ? (2/2) • Quelle maîtrise avez-vous réellement sur vos données (suite) ? • Problème d'intéropérabilité entre clouds. • Efforts en matière de standardisation. • Présence de plusieurs organismes (Open Grid Forum, Distributed Management Task Force, Cloud Security Alliance,...). • Exemples (logiciels IaaS) : – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds privés compatible avec différentes briques logicielles existantes. – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès uniformisé à différents technologies clouds (Amazon, Red Hat,...). • Question supplémentaire de l'accès aux données par les autorités (actions en justice). 15
  • 17. A quoi dois-je faire attention (1/2) ? • Faites attention aux dispositions prévues dans le contrat vous liant à l'hébergeur (garanties de performance, responsabilités, propriété des données,...). • Faites attention à la crédibilité des promesses faites par l'hébergeur (moyens mis en œuvre). • Faites attention à la propriété des données ainsi qu'aux possibilités de migration des données et des logiciels (interopérabilité). • Faites attention à vos procédures et outils internes (règles d'accès aux données clients, procédure d'authentification,...)... • Posez vous la question du niveau de risque que vous êtes globalement prêt(e)s à prendre et... • Ne surestimez pas, en comparaison, vos propres capacités en gestion de systèmes d'information ! 17
  • 18. A quoi dois-je faire attention (2/2) ? • Ces recommandations sont en fait des bonnes pratiques générales liées aux contrats d'externalisation. • Certes, le Cloud présente des limitations mais : • Les grands prestataires Cloud (Amazon, Google, Microsoft,...) sont des professionnels disposant généralement de certifications indépendantes (SAS70, ISO27001,...). • Le cloud reste excellent : • pour les charges variables et imprévisibles, • pour les données et processus non critiques. 18
  • 19. Merci pour votre attention Contact: Robert VISEUR (robert.viseur@cetic.be) CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 • F. +32 71 490 799 • info@cetic.be