17 avril 2013

Cloud et sécurité

Securite Cloud

Le « Cloud Computing »  ou « informatique dans le nuage » se développe de plus en plus et pose des problèmes spécifiques de sécurité. L’externalisation d’une partie de son système d’information comporte des avantages en terme de coûts, de souplesse d’utilisation ou de productivité, mais comporte une partie de risques. Une fois les risques mitigés, on peut cependant y trouver certains bénéfices en terme de sécurité.

Quelques définitions…

Le « Cloud computing » a été défini en 2011 par le National Institute for Standards and Technology (NIST) américain. Selon cette définition un fournisseur de service Cloud répond à 5 critères :

  • Le service est disponible à la demande et en libre service
  • Les ressources du fournisseur sont mutualisées pour les différents clients
  • Le service est accessible via le réseau et sur différents supports
  • Les ressources doivent être « élastiques » c’est-à-dire pouvoir s’adapter rapidement à une variation du besoin
  • Le service doit être mesurable et fournir des métriques d’utilisation des ressources

 

On distingue principalement 3 types d’offres de service Cloud distinctes :

  • IaaS (Infrastructure as a Service) : propose des ressources matérielles, comme du stockage ou du temps de calcul
  • SaaS (Software as a Service) : propose des logiciels « clés en main » à travers le réseau
  • PaaS (Platform as a Service) : propose des plateformes de développement ou de l’hébergement

 

Le déploiement d’une offre de Cloud peut-être :

  • Public : service accessible par le web et ressources partagées par tous les clients,
  • Privé : service dédié à une entreprise,
  • Hybride : un mélange des deux précédents
  • Communautaire : dédié à une communauté de clients qui partagent des intérêts communs.

 

Par exemple, Andromède la future offre de Cloud mise en place par l’État, sera à destination prioritaire des administrations et donc est à classer parmi les Cloud de type communautaire.

 

Pourquoi choisir une offre de Cloud ?

Les avantages de choisir un service « dans le nuage » sont multiples : tout d’abord en termes de coût. En effet, payer un service à la demande est considéré comme un coût d’exploitation et non pas comme un coût d’investissement, ce qui est avantageux du point de vue de la comptabilité. De plus, on ne paye que ce qu’on consomme. Cela permet par exemple de tester un projet, sans coûts d’investissement, pour ensuite augmenter les ressources si nécessaires.

Le Cloud fournit aussi un service « clés en main »,  ce qui permet de se concentrer sur son cœur de métier sans avoir à gérer les infrastructures sous-jacentes.

Enfin, le Cloud est un facteur de productivité, puisque le service est « pensé web » et accessible par le réseau depuis différentes machines avec une synchronisation des données (sous réserve d’authentification).

L’adoption du Cloud par les PME, grandes entreprises et administrations permet donc d’optimiser son système d’information tout en maitrisant les coûts d ‘évolution.

 

Les besoins de sécurité : confidentialité, intégrité, disponibilité, traçabilité

Avant de confier ses données au Cloud, il est important d’analyser ses besoins et les risques induits par l’externalisation.

Passer au Cloud n’est pas anodin, c’est pourquoi il est nécessaire de procéder à une étude de risques, et d’effectuer une classification de ses informations avant de prendre sa décision.

Par exemple, on peut s’interroger sur les points suivants :

  • Quel serait l’impact si cette information devenait disponible publiquement sur internet?
  • Quel serait l’impact si cette ressource ou information était modifiée à notre insu ?
  • Quel serait l’impact si cette ressource était inaccessible pendant une période de temps ?
  • Quels sont les conditions et comment récupérer les métadonnées liées au traitement de mes informations ?

 

Les infrastructures de Cloud font souvent appel à la virtualisation. Ainsi se pose la question de la sécurité des machines virtuelles : sont-elles sécurisées par défaut? Y a-t-il des possibilités de « décloisonnement » d’un client à l’autre ?

 

Le besoin de confidentialité doit être assuré en déployant des systèmes de chiffrement. Par exemple, les communications sur internet pour accéder au Cloud doivent être chiffrées lors des transferts (soit par HTTPS, soit par un VPN IPSEC) mais également pour le stockage.. Il faut alors se poser la question de qui maitrise les clés de chiffrement. En termes de risques et de sécurité, c’est le propriétaire des données qui devrait maitriser ses clés et leurs conditions d’utilisation.

En tout état de cause, un contrat doit indiquer clairement que le client reste propriétaire de ses données et qu’il a le droit de les récupérer dès qu’il le souhaite. On a vu dernièrement un fournisseur de services Cloud, e2e, qui après avoir fait faillite, a réclamé des sommes importantes à ses clients pour qu’ils puissent récupérer leurs données ! Pour éviter ce genre de mésaventure, il faut penser à anticiper et formaliser les conditions de migration (changement de fournisseur, réversibilité).

 

L’organisation du SI côté fournisseur est un paramètre important à prendre en compte : le client ne maitrise pas les biens supports du fournisseur et il est difficile d’apprécier les risques au plus juste. Il faut donc veiller à définir au maximum dans les termes du contrat les points suivants :

  • Pouvoir identifier, chez le fournisseur de service Cloud, qui peut avoir accès aux données ou à l’hyperviseur en cas de virtualisation. Les accès côtés fournisseurs doivent être tracés et réalisés avec de l’authentification forte. Il faut aussi savoir si le fournisseur fait lui-même appel à des prestataires.
  • Il peut être utile de connaître la localisation géographique des données notamment pour le respect du cadre légal. Par exemple, pour confier des données personnelles, il faut s’assurer de respecter la loi informatique et liberté. Cette loi autorise par défaut le transfert des données au sein de l’Union Européenne, mais fixe des règles strictes pour le transfert des données en dehors de ce périmètre.
  • Il est important dans le contrat d’établir clairement les responsabilités de chacun (fournisseur et client) en cas d’incident de sécurité (même lorsque celle-ci est partagée). Cette responsabilité est différente suivant le type de service proposé : le mode SaaS engage une plus grande responsabilité pour le fournisseur, tandis que le mode IaaS exige une plus grande responsabilité côté client.
  • Bonnes pratiques de sécurité : le fournisseur doit avoir des procédures de gestion de sa sécurité. Un fournisseur de service Cloud certifié ISO 27001 est idéal pour la confiance dans la gestion de la sécurité. Dans le cas contraire, les systèmes d’information du fournisseur Cloud doivent  pouvoir être auditable et respecter les bonnes pratiques de sécurité (ISO 27002, guide d’hygiène informatique). De même, pour les audits de vulnérabilités, il faut indiquer dans le contrat les conditions : le client peut être autorisé à effectuer lui-même les tests sur l’infrastructure de « Cloud », ou le fournisseur peut les effectuer en fournissant les résultats.
  • Backups et recovery plan : il faut connaître la politique de gestion des sauvegardes et d’archivage du fournisseur. Les données sont-elles chiffrées ? Qui y a accès ? Quel est le temps de restauration des données en cas d’incident de sécurité ? A l’inverse, en cas de destruction volontaire des données, les backups peuvent-ils aussi être effacés ?
  • Le fournisseur doit également pouvoir justifier d’un PCA (Plan de Continuité d’Activité) pour assurer la continuité du service. Le niveau de disponibilité du service, notamment au niveau réseau, est généralement mentionné par un SLA (Service Level Agreement).

 

Ces questions ne sont que des exemples des problématiques de sécurité posées par le Cloud, et ne représentent pas l’exhaustivité des points à prendre en compte.

 

SECurity as a Service (SECaaS)

La réalisation d’une appréciation des risques et la rédaction soigneuse d’un contrat avec le fournisseur de services « Cloud » sont donc essentiels. Une fois ces étapes maitrisées, on peut éventuellement bénéficier de certaines avancées en matière de sécurité.

En effet mutualiser les ressources sur une infrastructure permet aussi de regrouper des points de sécurité. Qui dit mutualisation, dit baisse du coût global. On peut donc noter les autres avantages suivants :

  • Si les données sont stockées à différents endroits du globe cela permet de diminuer le risque de DDOS (Distributed Denial Of Service)
  • Si le fournisseur respecte des bonnes pratiques en matière de sécurité, il peut déployer un service « clés en main » de filtrage, authentification, chiffrement…
  • Le fournisseur de Cloud peut proposer des machines virtuelles avec des systèmes d’exploitation pré-configurés, durcis et certifiés (signés), les logiciels et systèmes d’exploitation bénéficient des derniers correctifs de mise à jour.

 

Le choix du type de Cloud (public, privé) est déterminant pour la sécurité.

Une grande entreprise qui souhaite délocaliser une partie de ses ressources choisira de préférence un Cloud privé, dédié à ses besoins, ce qui comporte moins d’incertitude en matière de sécurité. Une PME qui souhaite de la flexibilité pourra à moindre coût choisir  un Cloud Public, avant éventuellement de faire les investissements nécessaires.

Ces problématiques ont permis de voir émerger une offre de sécurité … dans le Cloud ! C’est ce qu’on appelle le « SECaaS », pour Security as a Service. Par exemple, Google, avec le « Web Security for Enterprise » propose une offre de sécurité « Web » : il suffit d’utiliser leur service en tant que proxy Web pour bénéficier du filtrage à la volée du surf internet des employés de l’entreprise, avec le filtrage d’URLs, mais aussi de l’analyse des trames avec la détection de malware, de la protection anti-phishing… McAfee propose un service similaire avec « SaaS Web Protection », ainsi que de la protection email, des scanners de vulnérabilités, etc.

Il y a également des services de certification « dans le nuage ». Ainsi Dictao propose des services d’authentification, de signature électronique, de coffre-fort numérique… le tout « online ». Cryptolog avec UniverSign, propose des services de signature et horodatage « as a service ».

Enfin, des offres intégrées d’hébergement web « ultra sécurisé » sont proposées, par exemple CerberHost, qui propose une infrastructure LAMP (Linux, Apache, MySQL, PHP) couplée à des services de sécurité pour éviter la compromission ou l’indisponibilité des serveurs.

 

Conclusion

Les solutions « Cloud » ont des avantages indéniables en termes de praticité, de coût ou encore de souplesse d’utilisation (mobilité) et sont de plus en plus incontournables. Les risques induits sont réels et nécessitent une étude de risque et une maîtrise de la partie contractuelle.

Cependant, les services « Cloud » s’ils sont bien pensés peuvent aussi apporter des bénéfices en matière de sécurité. Et pourquoi pas gérer la sécurité de ses systèmes d’information à travers une offre sécurité dans le Cloud ?

 

Sources :

MISC 60, dossier “Cloud computing et sécurité”

ENISA: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

Cloud Security Alliance: https://wiki.cloudsecurityalliance.org/guidance/index.php/Main_Page

2 Comments on “Cloud et sécurité

Cloud et sécurité | BSSI.fr | La ...
1 juillet 2013 chez 23 h 22 min

[…] Le « Cloud Computing » ou « informatique dans le nuage » se développe de plus en plus et pose des problèmes spécifiques de sécurité.  […]

Répondre
Cloud et sécurité | BSSI.fr | Vot...
22 août 2013 chez 11 h 02 min

[…] Le « Cloud Computing » ou « informatique dans le nuage » se développe de plus en plus et pose des problèmes spécifiques de sécurité.  […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *