Si les solutions Cloud Computing commencent à être reconnues comme efficaces et sources d’économies significatives, le frein psychologique à leur adoption concerne les problématiques de sécurité.
Voici une Tribune de Jean-Marc Boursat, consultant sécurité pour la SSII Devoteam BU Sécurité, abordant non seulement la problématique sécurité du Cloud, mais également des aspects moins évidents a priori, tels que les infrastructures Réseaux.
Morceaux choisis :
Le cloud computing ou l’informatique dans les nuages est un concept porteur en 2010. L’avenir de cette plate-forme est encore incertain pour certains, mais de nombreuses entreprises utilisent ou souhaitent utiliser des services Cloud ou du moins les technologies sous-jacentes. De ce fait, des RSSI, confrontés aux choix de leur entreprise, se posent (ou devraient se poser) la question : quelles sont les avantages et les inconvénients d’un point de vue sécurité du cloud omputing pour une entreprise ?
En termes de disponibilité du service, un service cloud est souvent présenté comme une solution rapide à mettre en œuvre, et ajustable aux besoins de l’entreprise. L’informatique traditionnelle nécessitait une étude de dimensionnement et un suivi précis des ressources pour anticiper les évolutions nécessaires et dans certains cas, la mise en place de solutions de partage de charge. Dans le cas du cloud computing, le fournisseur de services effectue ce travail pour le client. Ce dernier peut donc croire que le risque d’indisponibilité du service est transféré chez son fournisseur, mais ce raisonnement a une faille : la disponibilité du service dépend aussi (surtout) de la disponibilité du réseau d’accès.
L’usage des ressources réseau doit donc être analysé en phase pilote pour anticiper les évolutions de bande passante en fonction des prévisions d’utilisation du service cloud.
En termes de confidentialité et d’intégrité des données, le problème se situe surtout au niveau du stockage des données. Il faut comprendre que le cloud computing est la résultante de deux évolutions importantes de l’informatique : la virtualisation des ressources, simplifiant énormément leur gestion, et la généralisation des architectures logicielles (hautement) distribuées utilisant le navigateur comme interface Homme-Machine.
Le lien entre la donnée et la ressource (physique) qui la stocke est difficile à faire. Les différents composants de l’application peuvent être exécutés par un nuage de serveurs logiques, eux même hébergées par un ensemble de ressources physiques. En sachant qu’il est possible de faire migrer un serveur logique d’une ressource physique à une autre, il est difficile voir impossible de localiser les données sensibles, de garantir qu’elles ne se mélangent pas avec des données facilement accessibles.
Comment le RSSI doit il réagir ? Quelle politique sécurité doit-il appliquer au cloud computing ?
L’interdiction peut être la première réaction, mais les contraintes budgétaires et les tendances technologiques ne permettront pas de tenir ce discours très longtemps. Les fournisseurs de service l’ont bien compris en inventant le cloud privé, qui permet de dupliquer une solution cloud sur un réseau interne. L’avantage du cloud privé est que les données restent internes à l’entreprise (à priori). Il faut réfléchir à l’évolution de la politique sécurité en définissant les principes à respecter pour transformer une application en service cloud (surtout pour les services sous traités via Internet).
Les règles de sélection d’un fournisseur de services s’appliquent aux offres cloud externalisées, qu’elles utilisent Internet ou des liaisons spécialisées. Les clauses contractuelles doivent prendre en compte les engagements sécurité du fournisseur (mise à jour, gestion des incidents sécurité, autorisation à auditer, engagement à corriger une vulnérabilité détectée, condition d’hébergement, engagement de reprise de service en cas de catastrophe).
Si l’entreprise développe sur offre cloud privée, le RSSI doit fixer quelques règles d’architecture (limite à la mutualisation des ressources, condition d’hébergement, authentification mutuelle des composants logiques du nuage), et surtout il doit veiller à la sécurité renforcée des ressources composant le nuage (serveurs hôtes, baies de stockage). Les règles existantes qui concernent la gestion des patchs sécurité doivent aussi s’appliquer sur les environnements virtuels. Enfin Les pannes matérielles et autres désastres n’épargnent pas les composants d’un nuage. Le plan de reprise d’activité devra également être adapté.
source : http://blog3.lemondeinformatique.fr/blogexperts/2010/03/cloud-computing-attention-a-la-securite.html#more-237
