25 novembre 2012

Office 365 : Risques liés à la solution Cloud

Office365

La sécurité des services hébergés dans le Cloud (dits SaaS – Solutions as a Service) est fréquemment évoquée par les responsables informatiques, ce qui freine leur adoption plus massive. A travers une approche par les risques et l’exemple d’office 365 nous souhaitons mettre en évidence quelques préconisations.

 

Les services proposés dans le Cloud présentent plusieurs avantages :
• déploiement très rapide,
• administration technique minimum,
• montée en charge facilitée,
• accessibilité depuis un simple navigateur web (dont les terminaux mobiles),
• des coûts prévisibles et souvent avantageux…

 

Mais également de (nouveaux) risques sont à prendre en compte comme la perte de maîtrise de l’infrastructure technique et de la sécurité, les difficultés à maîtriser les relations contractuelles avec le prestataire ou encore les incertitudes sur la localisation des données sensibles (problème de conformité et de réglementation nationale).

Les fonctionnalités d’Office en ligne et le mode collaboratif 

Office 365 est la version SaaS des solutions de Microsoft. On y retrouve les versions en ligne de Word, Excel, PowerPoint, OneNote et Outlook via Exchange. Office 365 intègre également Sharepoint Online pour le travail collaboratif et Lync pour le web conferencing et la messagerie instantanée. Cette solution disponible en ligne (mais également par l’intermédiaire de clients lourds et sur mobile) propose des fonctionnalités très différentes :

• Des outils de PIM (messagerie électronique, calendrier partagé, contacts) classique via Exchange et une version web d’Outlook
• Un service de web conferencing (audio et vidéo, partage de bureau et de fichiers…)
• Un service de messagerie instantanée
• Des outils bureautiques (les classiques Word, Excel, Powerpoint) et de prise de note (OneNote)
• La possibilité de créer et d’animer des espaces collaboratifs de type Intranet / Extranet via Sharepoint Online
• La possibilité de créer des sites Web publics

 

Panorama des risques 

L’usage de la solution Office 365 présente plusieurs risques pour les entreprises que l’on retrouve communément pour toute externalisation (hébergement / Cloud).

L’hébergement dans le Cloud impose des contraintes techniques et juridiques. La solution ainsi que les données sont stockées, de façon mutualisée, dans les datacenters de Microsoft et l’organisation en perd la maîtrise. De nombreuses questions se posent alors : les données sont-elles chiffrées ? Qui maîtrise les clés de chiffrement ? Quelles sont les procédures de sauvegarde et de restauration ? Quelles sont les mesures mises en place contre les codes malveillants ? Où sont stockées les données ? Le sont-elles dans un pays réputé « sûr » par l’Union Européenne ? Qui accède aux données chez l’hébergeur et le fournisseur de la solution ?

Si la confidentialité des données reste une problématique majeure dans le Cloud, la question de la disponibilité est également incontournable. L’indisponibilité des services causée par une panne, une attaque ou un accident (événement climatique, par exemple) côté fournisseur fait partie des scénarios de risque les plus réaliste. L’indisponibilité peut également trouver son origine côté client en cas de problèmes d’accès aux réseaux Internet.

Plusieurs autres scénarios de risques sont imaginables :

• L’usurpation d’identité d’utilisateurs ou administrateurs (par des attaques de type phishing ou l’utilisation d’un mot de passe faible)
• L’exploitation de failles web (XSS…) sur l’interface de la solution
• Des fuites de données (par exemple, atteinte à la confidentialité des données par des accès administrateurs de l’hébergeur du service)
• …

 

Microsoft communique sur la sécurité de son Cloud 

Microsoft est conscient des problèmes de sécurité et d’image véhiculés par les services hébergés dans le Cloud. La compagnie a notamment publié plusieurs documents et livres blancs détaillant les mesures déployées pour sécuriser sa solution en ligne. L’entreprise américaine a annoncé que son infrastructure était certifiée ISO 27001. Ses datacenters sont également conformes aux normes SAS 70 (maintenant ISAE-3402).

Pour répondre aux enjeux juridiques, Microsoft déclare avoir signé les normes contractuelles standard créés par l’Union Européenne (« EU Model Clauses / Clauses contractuelles européennes ») avec tous les clients. Les EU Model Clauses traitent du transfert international de données.

Pour répondre aux enjeux techniques de sécurité, Microsoft détaille peu ses mesures de sécurité. La société évoque par exemple des procédures de sauvegarde pour Sharepoint Online (backup tous les 12 heures et rétention de 14 jours), la mutualisation des données (assurée par sa technologie Active Directory) ou encore sa protection anti-spam et anti-malware (par sa technologie Forefront Online Protection) ;

Concernant la problématique de disponibilité, Microsoft garantie financièrement un SLA de 99,9%.

Des mesures de sécurité à mettre en place

Préalablement à l’indispensable appréciation des risques, il est nécessaire de cartographier les données sensibles de l’organisation pour identifier celles que l’entreprise acceptera de stocker dans le Cloud et celles qu’elle n’acceptera pas. Cette action doit être engagée dans le cadre d’une démarche globale de classification de l’information.

Dans un deuxième temps, l’organisation cliente d’une solution type Office 365 doit mettre en place des mesures techniques, organisationnelles et juridiques pour répondre à ses besoins de sécurité et réduire les risques induits par l’externalisation de sa messagerie, de ses outils de bureautique et de ses données.

Par exemple, pour le contrôle d’accès, il est possible de mettre en place une gestion de l’authentification via un Active Directory et d’y associer un mécanisme à plusieurs facteurs pour augmenter le niveau de sécurité. Pour les accès mobiles, la mise en place de solutions de MDM (Mobile Device Management) et de conteneurs sécurisés est préconisée pour permettre la géolocalisation et l’effacement à distance des données professionnelles en cas de perte ou de vol d’un terminal mobile.

Pour répondre aux contraintes réglementaires et juridiques, l’organisation doit interroger son hébergeur et fournisseur de services pour identifier la localisation des données et le formaliser dans un contrat.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *