L’Internet et les technologies ont révolutionné les communications, créant ainsi un nouvel environnement dans lequel les entreprises peuvent se concentrer sur leur compétences métiers en transférant l’IT dans le ‘Cloud’. Cela entraine-t-il de nouveaux défis dans la sécurisation des données critiques de l’entreprise ? Pas vraiment. Mais, cela demande une très grande vigilance et une mise en place minutieuse.
Par Christophe Auberger, Responsable Technique chez Fortinet
De nombreuses entreprises hésitent à transférer leurs données, leurs applications et/ou processus dans le Cloud du fait des cas de pannes de réseaux et d’infractions de systèmes qui ont récemment fait la une. Il y a quelques mois, le réseau Amazon EC2 est tombé en panne, causant l’indisponibilité durant 3 jours d’un grand nombre de sites Internet. Au même moment, Sony Corporation était contraint de fermer ses services cloud après avoir révélé publiquement qu’un hacker avait eu accès aux informations privées de plus de 77 millions d’utilisateurs du PlayStation Network en ligne.
Ces incidents poussent à la fois les experts et les clients à se demander si la sécurité représente un problème plus important dans le cloud computing que dans une autre forme d’hébergement. Pas vraiment. Et ce, même si les différents modèles de services et les technologies appliquées pour permettre les services cloud introduisent effectivement de nouveaux risques. Pour une entreprise, opter pour le cloud computing signifie perdre le contrôle de son environnement IT, tout en conservant la responsabilité de celui-ci, même si la responsabilité des opérations est confiée à un tiers.
En ce qui concerne les risques, les services cloud ne sont pas plus difficiles à gérer que les applications traditionnelles dans les centres de données privés de l’entreprise. Dans les deux cas, le niveau de protection est identique aux mesures de sécurité prises en fonction de l’analyse des risques. Cela comprend les mesures prises pour la sécurité physique, du réseau, du système et de l’information. Cela peut également entrainer des mesures supplémentaires, telles que les politiques d’accès et les règles de conduite des employés et des processus.
La question la plus importante que toute organisation devrait se poser avant d’opter pour le Cloud est: ‘Est-ce que mon fournisseur de cloud est capable d’égaler ou de proposer bien plus que mon niveau de protection actuel?’ La rentabilité résultant de l’évolutivité, l’uniformité et la standardisation, est l’un des avantages les plus attractifs du cloud computing. Cependant, les fournisseurs de cloud doivent également offrir des services suffisamment flexibles pour répondre à la plus vaste clientèle possible, et par conséquent, les mesures de sécurité sont considérées comme des contraintes dans l’atteinte d’une telle flexibilité. C’est la principale raison pour laquelle les fournisseurs de cloud sont souvent incapables d’offrir le même niveau de sécurité que celui proposé dans les environnements informatiques traditionnels.
Si les fournisseurs de cloud ne peuvent pas offrir des mesures de sécurité fiables, de solides accords doivent donc être convenus en matière de responsabilité. Dans les environnements SaaS (Software as a Service), les mesures de sécurité et leurs champs d’action sont formulés au travers de contrats.
Dans les modèles IaaS (Infrastructure as a Service), la sécurité de l’infrastructure sous-jacente ainsi que les couches supérieures, sont sous la responsabilité du fournisseur IaaS. Le reste de la chaine, tels que les systèmes d’exploitation, les applications et les données ayant recours à l’infrastructure, sont sous la responsabilité du client. Le modèle PaaS (Platform as a Service) est situé quelque part entre le SaaS et PaaS. La sécurité de la plateforme fait partie des responsabilités du fournisseur PaaS; cependant, le client est responsable de la protection des applications développées sur cette plateforme.
Il est important d’attribuer des responsabilités en cas d’incidents ou de catastrophes, comme nous avons pu le constater lors des pannes du réseau Amazon EC2. Dans ce cas, il n’y avait pas de serveurs de sauvegarde redondants sur site distant pour maintenir les opérations. Il n’y avait pas non plus de système de basculement (fail-over) pour transférer temporairement les services vers un autre fournisseur cloud. L’exemple d’Amazon montre qu’il est important de se prémunir contre tous types de risques. Bien sûr, cela ne s’applique pas seulement aux fournisseurs de cloud, mais aussi aux entreprises, qui devraient prévoir de tels risques.
La sécurité réseau
Si la sécurité de l’IT dans les centres de données privés exige des règles et des mesures strictes, il en va de même pour le Cloud. Les réductions de coûts d’une application SaaS sont sans valeur si les données et la réputation de l’entreprise sont compromises. Le fournisseur de cloud doit garantir la sécurité du Cloud, mais également celle du réseau et de l’environnement physique. Il est donc important de choisir un fournisseur de cloud ayant des antécédents professionnels et une expertise solides, mais également, proposant les meilleures solutions en matière de sécurité réseau et de sécurité du système d’exploitation. Celui-ci devrait également être en mesure de démontrer que tous les risques de sécurité ont été évalués et jugés acceptables, que la protection du système a été testée, et que les menaces peuvent être contrôlées ou évitées. En outre, il est important d’évaluer comment le fournisseur de cloud réagit face aux incidents. Par exemple, y a-t-il un centre des opérations de sécurité (SOC) mis en place?
Enfin, la sécurité réseau devrait protéger tous les points d’accès virtuels du cloud. Les fournisseurs de cloud doivent employer des règles et procédures de sécurité bien managées pour bloquer les attaques. Ils devraient également être en mesure de rechercher et d’arrêter les menaces émergentes avant que celles-ci ne représentent un véritable danger.
La sécurité physique
En informatique virtuelle, il n’est plus possible d’envisager des mesures de sécurité physiques. Toutefois, si un fournisseur de services offre un support externe via des services de centres de données, des services gérés ou un service cloud, il est impératif d’évaluer quelles sont les mesures de sécurité physiques prises au sein du site où les données sont hébergées. Y a-t-il des portes d’accès installées, y a-t-il une surveillance mise en place? Il est également recommandé de choisir un fournisseur de cloud qui assure des mesures de sécurité physiques selon les certifications SAS 70 ou ISO 9000.
L’ingénierie sociale est en hausse, car il s’agit là d’un moyen parfait pour accéder aux périmètres de sécurité physiques ou réseaux. Des individus tentent d’obtenir la confiance des employés par téléphone ou en personne pour accéder aux centres de données ou en persuadant les employés de partager les informations qu’ils pourront ensuite utiliser pour pirater les systèmes de données. Par conséquent, en plus des mesures techniques, le fournisseur de cloud doit définir et faire mettre en application des règles de conduite et des directives de comportement pour les employés. Un excellent moyen de tester la conformité de ces règles est d’embaucher un ‘hacker éthique’, qui tentera d’accéder à des environnements physiques et numériques pour le compte du client.
Lorsque l’on pense à la sécurité physique, il est également conseillé d’examiner les solutions spécifiques que le fournisseur de cloud a mis en place pour la récupération des données dans le cas d’un sinistre. Où les données sont-elles stockées quand elles ne sont pas utilisées? Est-ce que les données sont encryptées et disponibles sur un site distant redondant?
La zone d’ombre
L’une des caractéristiques du cloud computing est que plusieurs utilisateurs tirent profit de la même application ou matériel. Cet environnement dit ‘mutualisé’ implique que les informations de plusieurs entreprises sont contenues dans un seul système physique. Il est donc essentiel de s’assurer que les systèmes soient segmentés correctement et que leurs données et applications soient bien séparées les unes des autres. Cependant, les environnements virtuels fonctionnent différemment des serveurs traditionnels. Ces derniers surveillent tout le trafic sur le champ, par le biais d’un commutateur ou d’un routeur Ethernet physique. Dans un environnement virtuel, les données sont transmises par le biais d’un adaptateur virtuel, sans jamais passer par un appareil physique. Cela crée une zone d’ombre dans la communication entre le centre de données et l’utilisateur final, et par conséquent un problème de sécurité potentiel. La mise en place d’une appliance de sécurité physique ou virtuelle entre le fournisseur de cloud et l’entreprise privée peut s’avérer être une solution intelligente, car cela permettra de fournir la bonne combinaison de performances et de contrôle à travers les flux du trafic.
En conclusion, il y a de nombreuses façons d’aborder le Cloud: via les modèles de services SPI (Software-as-a-Service, Platform-as-a-Service, of Infrastructure-as-a-Service), le cloud public versus privé, l’hébergement interne versus externe, ainsi qu’un grand nombre de solutions hybrides.
Compte tenu du nombre d’options, il n’y a pas de liste standard de mesures de sécurité qui couvre tous les événements possibles de façon exhaustive. Donc, avant de s’y engager dans le Cloud, les entreprises devraient adopter une approche basée sur les risques et être sûres que les mesures de sécurité nécessaires n’entravent pas l’efficacité et la rentabilité attendues des solutions de cloud.
