Le cloud computing ou l’informatique dans les nuages est un concept porteur en 2010. L’avenir de cette plate-forme est encore incertain pour certains, mais de nombreuses entreprises utilisent ou souhaitent utiliser des services Cloud ou du moins les technologies sous-jacentes. De ce fait, des RSSI, confrontés aux choix de leur entreprise, se posent (ou devraient se poser) la question : quelles sont les avantages et les inconvénients d’un point de vue sécurité du cloud omputing pour une entreprise ?
En termes de disponibilité du service, un service cloud est souvent présenté comme une solution rapide à mettre en œuvre, et ajustable aux besoins de l’entreprise. L’informatique traditionnelle nécessitait une étude de dimensionnement et un suivi précis des ressources pour anticiper les évolutions nécessaires et dans certains cas, la mise en place de solutions de partage de charge. Dans le cas du cloud computing, le fournisseur de services effectue ce travail pour le client. Ce dernier peut donc croire que le risque d’indisponibilité du service est transféré chez son fournisseur, mais ce raisonnement a une faille : la disponibilité du service dépend aussi (surtout) de la disponibilité du réseau d’accès. L’abandon d’une application hébergée en interne au profit d’un service cloud impacte le réseau d’entreprise. L’usage des ressources réseau doit donc être analysé en phase pilote pour anticiper les évolutions de bande passante en fonction des prévisions d’utilisation du service cloud. Cette analyse doit être complétée par une vérification du système de partage de charge du fournisseur de service surtout si l’accès passe par un proxy présentant l’ensemble des utilisateurs de l’entreprise comme un seul.
En termes de confidentialité et d’intégrité des données, le problème se situe surtout au niveau du stockage des données. Il faut comprendre que le cloud computing est la résultante de deux évolutions importantes de l’informatique : la virtualisation des ressources, simplifiant énormément leur gestion, et la généralisation des architectures logicielles (hautement) distribuées utilisant le navigateur comme interface Homme-Machine. Les applications, vues de l’utilisateur, sont de plus en plus des ensembles de composants logiciels interagissant entre eux par web services. De ce fait, les données saisie par un utilisateur peuvent être transmises et stockées (temporairement ou non) par de multiples composants, en général inconnu de l’utilisateur lui-même et difficile à connaître pour un RSSI éloigné des architectures logicielles. En ajoutant la couche de virtualisation, le lien entre la donnée et la ressource (physique) qui la stocke est difficile à faire. Les différents composants de l’application peuvent être exécutés par un nuage de serveurs logiques, eux même hébergées par un ensemble de ressources physiques. En sachant qu’il est possible de faire migrer un serveur logique d’une ressource physique à une autre, Il est difficile voir impossible de localiser les données sensibles, de garantir qu’elles ne se mélangent pas avec des données facilement accessibles.
Comment le RSSI doit il réagir? Quelle politique sécurité doit-il appliqué au cloud computing ?
L’interdiction peut être la première réaction, mais les contraintes budgétaires et les tendances technologiques ne permettront pas de tenir ce discourt très longtemps. Les fournisseurs de service l’ont bien compris en inventant le cloud privée, qui permet de dupliquer une solution cloud sur un réseau interne. Certains fournisseurs proposent même leurs solutions packagées (ou pré-intégrées) avec les technologies de virtualisation du client (vitual appliance). L’avantage du cloud privée est que les données restent interne à l’entreprise (à priori). Il faut réfléchir à l’évolution de la politique sécurité en définissant les principes à respecter pour transformer une application en service cloud (surtout pour les services sous traités via Internet).
Les règles de sélection d’un fournisseur de services s’appliquent aux offres cloud externalisées, qu’elles utilisent Internet ou des liaisons spécialisées. Les clauses contractuelles doivent prendre en compte les engagements sécurité du fournisseur (mise à jour, gestion des incidents sécurité, autorisation à auditer, engagement à corriger une vulnérabilité détectée, condition d’hébergement, engagement de reprise de service en cas de catastrophe). Enfin il ne faut pas oublier les contraintes légales et dans le cas des données à caractère personnel, il faudra obtenir des engagements sur la localisation des serveurs pour rester conformes aux règles Informatique et Liberté.
Si l’entreprise développe sur offre cloud privée, le RSSI doit fixer quelques règles d’architecture (limite à la mutualisation des ressources, condition d’hébergement, authentification mutuelle des composants logiques du nuage), et surtout il doit veiller à la sécurité renforcée des ressources composant le nuage (serveurs hôtes, baies de stockage). Les règles existantes qui concernent la gestion des patchs sécurité doivent aussi s’appliquer sur les environnements virtuels. Enfin Les pannes matérielles et autres désastres n’épargnent pas les composants d’un nuage. Le plan de reprise d’activité devra également être adapté.
(15 votes)
Loading ...