• Print
  • Decrease text size
  • Reset text size
  • Larger text size
12/07/2016

La sécurité au sein du Cloud Computing : des inquiétudes à l’émergence de tendances prometteuses

Le succès du Cloud Computing est porté par sa forte capacité à améliorer le time to market des solutions et le time to user des utilisateurs. De la mobilité au Big Data en passant par les objets connectés (IoT), le Cloud Computing est aujourd’hui au cœur de l’activité des entreprises.
Il y a incontestablement une euphorie qui se concrétise autour des technologies de Cloud Computing depuis plusieurs années. Selon une étude 2016*, 69,5 % des entreprises européennes utilisent déjà ou envisageraient d’utiliser une solution de Cloud public de type IaaS. De plus, 45,3 % des entreprises utilisent des solutions logicielles sur le Cloud.
Cependant, même si la crédibilité du Cloud Computing n’est pas remise en cause (optimisation des coûts, recentrage sur les usages et les besoins métiers, repositionnement en tant que fournisseur de services innovants), Il suscite une certaine prudence de la part des DSI.
Cette dernière se cristallise autour de deux problématiques historiques. La première, c’est la complexité d’intégration entre les systèmes existants, le legacy et les nouveaux systèmes hébergés sur des plateformes Cloud. Avec l’externalisation, la seconde inquiétude des DSI, et pas des moindres, c’est la sécurité des infrastructures et des données. Ainsi, 64 % des entreprises européennes manifestent des réticences concernant la sécurité d’utilisation au sein du Cloud.
 

 

Pourquoi la sécurité du Cloud Computing est un sujet complexe ?

Pour se protéger dans le Cloud Computing, il faut adresser 3 aspects de manière coordonnée : Il faut garantir simultanément et en temps réel la sécurité physique (contrôle et traçabilité des accès physiques, redondance, résilience …), la sécurité logique (colocation sécurisée des applications, segmentation réseau, sécurité de l’interface d’administration…), et la sécurité des données (responsabilité juridique, protection et récupération des données, chiffrement de la donnée, réversibilité, souveraineté …).

De manière générale, les services proposés par les fournisseurs de Cloud Computing sont hautement sécurisés (protection des données, réplication des applications et des données, respect des exigences en matière de conformité et de résidence des données …) avec des engagements de services en adéquation avec les exigences des clients.

En revanche, les entreprises n’ont que peu de marge d’action en ce qui concerne les aspects sécurité, et cela peut les rendre frileuses vis-à-vis des solutions de Cloud Computing (connaissance précise de la localisation des données, possibilité de réalisation d’audits, facilité de reprise des solutions par d’autres fournisseurs …).

De surcroit, comme tout système, les plateformes de Cloud Computing ne sont pas infaillibles. De nombreux exemples de cyber-attaques confortent les inquiétudes des entreprises : il y a peu, une attaque a visé Ligthspeed, un éditeur de solutions TPV dans le cloud. L’intrusion a ciblé la base de données centrale qui stocke les informations des utilisateurs (identifiants, mots de passe etc…) afin d’installer un malware sur leurs TPV avec pour objectif de dérober des informations de carte de crédits des clients.

Comment sécuriser son passage dans le Cloud Computing ?

Avant de se précipiter dans le Cloud Computing, les entreprises doivent être conscientes des menaces et risques qui en découlent, et être en mesure de les maîtriser.

Tout d’abord, il est indispensable d’estimer la valeur des données qui doivent être transférées vers le Cloud. En fonction des enjeux de l’entreprise, la donnée devra être classifiée selon sa criticité en se basant sur plusieurs critères. Ainsi pour une entreprise dans la santé qui manipule des données privées, les critères de confidentialité et conformité seront importants. Tandis que pour une entreprise dans le domaine des utilities, dont l’objectif est de faire remonter des informations thermiques via des capteurs, la disponibilité et l’intégrité des données seront essentielles.

Les données et applications les plus sensibles devront avoir un traitement spécifique. Il est en général conseillé de les mettre dans un Cloud Privé plus sécurisé. Ainsi, aujourd’hui 87,6 % des entreprises européennes utilisent une solution de Cloud privé ou ont l’intention de le faire.

Il sera alors nécessaire d’estimer le niveau de protection de ce type de données garanti par le fournisseur Cloud, comme le cryptage de ces données.

Dans la continuité, une analyse de risques du projet s’impose, en considérant les risques propres et résiduels issus du Cloud Computing et en mettant en place un plan d’actions associé.

Parmi les risques les plus critiques, nous avons par exemple : le manque de conformité aux exigences réglementaires et de l’entreprise, la malveillance dans l’utilisation des services mais aussi l’usurpation d’identité. Essentiellement liés au Cloud Public, nous pouvons également citer la perte de maîtrise et/ou de gouvernance de la part de l’entreprise, le manque de maîtrise sur la localisation des données, les failles dans la ségrégation et l’isolement des environnements et des données, et enfin le risque de perte et de destruction incomplète des données en cas de fin de service.

Enfin, pour compléter la démarche de sécurisation, il peut être intéressant de réaliser un audit (en général peu accepté dans le Cloud Public) et/ou un test d’intrusion de la solution Cloud avant sa mise en service.

 

Comment se dessine le nouveau visage de la sécurité autour Cloud Computing ?

 

L’approche réactive, basée uniquement sur le déclenchement de la mécanique sécurité qu’une fois un incident détecté, n’est plus viable.

Ainsi, on assiste à l’émergence de plateformes de sécurité des accès au Cloud (ou Cloud Access Security Protection) qui viennent compléter les outils Big Data de « predictive analytics » afin d’anticiper les comportements anormaux. 

Il faut donc être en mesure de contrôler et superviser les données en temps réel en mettant en place des systèmes de gestion de droits d’accès et d’identité très performants. Ces contrôles de sécurité (segmentation réseau, intrusion, contrôle d’accès …) peuvent désormais être automatisés et suivis à travers les applications : c’est le Software-Driven Security

Avec les risques induits par le Cloud, le chiffrement des données est donc remis au cœur du débat. On évolue davantage vers une protection fine des données grâce à un chiffrement à la source et une authentification plus forte des identités plutôt que de continuer à fonctionner selon le modèle classique « firewalls », souvent mis à mal. A cela, depuis quelques années, se rajoute le chiffrement homomorphique : le client maintient sa donnée chiffrée tant lors de la phase de transfert vers le cloud que durant son traitement par le fournisseur, et cette même donnée n’est déchiffrée qu’au retour de l’information chez le client grâce à ses propres clés de chiffrement.

Dans cette même logique, certains experts avancent le concept de « user emporwement » : les utilisateurs, qui ont une meilleure connaissance de la criticité des données, pourront chiffrer directement les données avant de les transférer dans le Cloud, et ce sans utiliser forcément des applications spécialisées. Ceci permet de donner une vision métier de la protection des données au-delà de celle effectuée par les administrateurs. Ainsi, depuis 2015 Google permet aux utilisateurs du cloud Compute Engine d’importer leurs propres clés de chiffrement via une option et sous certaines conditions techniques.

Quant à l’IoT, on assiste à 3 tendances liées aux nouvelles normes de sécurisation du cloud : une authentification permanente des utilisateurs pendant l’utilisation des services, une authentification de tous les objets dès leur mise en ligne ce qui empêche une intrusion grâce à l’usurpation d’identité d’objets non sécurisés, et enfin une délégation de la gestion de l’accès aux utilisateurs/propriétaires des informations (UMA – User Managed Access).

La sécurisation du Cloud Computing reste ainsi un terrain à dégivrer, avec de nombreuses tendances qui doivent encore s’ancrer dans les pratiques des entreprises et des fournisseurs.

 

*Source chiffres : IDG Business Research Services et T-Systems
 
-------------------------------------------------------------------------------------------
 
Lamine Toure - Senior Consultant
0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top