Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
HECMontréal
Établirlesrequisfonctionnelsettechnologiquesen
sécuritédel’information:lecasspécifiquedesCloud
AccessSecurityBrokers
par
AndréanneOstiguy
Sciencesdelagestion
(OptionTechnologiesdel’information)
Mémoireprésentéenvuedel’obtentiondugradede
maîtriseèssciencesengestion
(M.Sc.)
Décembre2016
©AndréanneOstiguy,2016
iii
Certificatd’éthiqueenrecherche
CERTIFICAT D'APPROBATION ÉTHIQUE
La présente atteste que le projet de recherche décrit ci-dessous a fait l'objet d'une évaluation en matièred'éthique de la recherche avec des êtres humains et qu'il satisfait aux exigences de notre politique en cettematière.
Projet # : 2016-2263
Titre du projet de recherche : Établir les besoins en sécurité de l'information: le cas spécifique des CASB
Chercheur principal :Andréanne Ostiguy-BrunetÉtudiante M. Sc. - HEC Montréal
Directeur/codirecteurs :Line DubéProfesseur - HEC Montréal
Date d'approbation du projet : 18 avril 2016
Date d'entrée en vigueur du certificat : 18 avril 2016
Date d'échéance du certificat : 01 avril 2017
Maurice LemelinPrésident du CER de HEC Montréal
Approbation du projet par le comité d'éthique suite à l'approbation conditionnelle Comité d'éthique de la recherche - HEC Montréal
2 / 2
iv
SommaireL’infonuagique est un mode d’impartition des technologies de l’information de plus en plus
populaire auprès des organisations. Bien qu’elle permette une grande flexibilité et une
implantationrapide,elleapporteaussisonlotdedéfisensécuritédel’information.Parmilesdéfis
recensésdans la littérature,onnoteceuxquiont trait à la confidentialité, à l’intégritéetà la
disponibilitédesdonnéesimpartiesaufournisseurdeservicesinfonuagiques.D’ailleurs,leplus
grand frein à l’adoptionde l’infonuagique serait lapertede contrôlede l’organisation sur ses
donnéesimparties.Eneffet,d’unpointdevuelégal,mêmesilesdonnéessontstockéeschezun
fournisseur, l’organisationenconservelaresponsabilité.Danscecontexte,unenouvelleclasse
d’outils,lesCloudAccessSecurityBrokers(CASB),aétéproposéecommesolutionàcertainsdes
problèmesassociésà l’utilisationdel’infonuagique.Cetteclassed’outilsémergenteprometde
faciliteretdecentraliserlagestiondesapplicationsinfonuagiques.LesCASBagissentcommeun
intermédiaire entre l’organisation cliente et le fournisseur d’applications infonuagiques. Ils
permettent d’atteindre quatre objectifs de sécurité, soit d’identifier les applications
infonuagiques utilisées au sein de l’entreprise, d’appliquer les politiques de gouvernance de
sécurité,d’assurerlaprotectiondesdonnéesetdedéfendrel’organisationcontrelesmenaces
externes. Lemémoire sepenche sur cette classed’outils et sonobjectif est, dansunpremier
temps,dedéfinirlesbesoinsdesécuritéd’uneentreprisecanadiennedudomainedelafinance
et de l’assurance afin de déterminer les requis technologiques et fonctionnels pour un CASB
implantédansuneorganisationdecetteindustrie.Dansundeuxièmetemps,cesrequisontété
comparésauxfonctionnalitésoffertesparlesCASBactuellementdisponiblessurlemarchépour
ensuitediscuterdupotentieldecetteclassed’outils.L’étudepermetdeconclureque,mêmesi
lesCASBoffrentdesfonctionnalitésintéressantes,ilsontplusieurslimitesetnerépondentque
partiellementauxbesoinstypiquesd’uneorganisationœuvrantdanslemilieudelafinanceetde
l’assurance.
Mots-clés:infonuagique,sécuritédel’information,CloudAccessSecurityBrokers,CASB,requis
desécurité,rechercheactiondesign,financeetassurance.
v
RemerciementsJe tiens d’abord à remercier Line Dubé qui fut une directrice extrêmement dévouée, présente et
patiente. J’ai eubeaucoupde chancedepouvoir travailler avecunepersonneaussi passionnéeet
attentive.Ellem’aapprisl’importancedelarigueurenrechercheetsescommentaires,sessuggestions
etsesidéesmefurentd’uneaideprécieusetoutaulongdelarédactiondecemémoire.Jen’aurais
jamais pu écrire un mémoire de cette qualité sans son soutien; j’ai une admiration et une
reconnaissancesansborneàsonégard.
Ensuite,jeremercieHenriBarkietSuzanneRivardpourleurscommentairesdanslecadredel’Atelier
derecherche;cefutungrandhonneurdelesavoircommeprofesseurs.Jetiensàremercieraussiles
professeursPierre-MajoriqueLégeretSylvainSénécalainsiquetoutel’équipeduTech3Labquim’ont
permis d’apprendre énormément et de découvrir la recherche TI en laboratoire. Je voudrais aussi
soulignerletravailacharnédetouslesprofesseursetenseignantsdudépartementdetechnologiesde
l’information à HECMontréal. Tant au baccalauréat qu’à lamaîtrise, j’ai eu la chance de pouvoir
apprendredecesgenspassionnésetjenegardequedebonssouvenirsdemonpassagedansleurs
cours.Jesouhaiteégalementremercierlestroisprofesseursquiontgentimentacceptédefairepartie
demonjury.
Merciàl’entreprisequim’aouvertsesportespendantprèsdetroismoispourmacollectededonnées.
Bienqu’elledoive resteranonyme, j’espèreque lesgensavecqui j’aieu la chancede travailler se
reconnaîtront. Leur professionnalisme, leur savoir-faire et surtout leur générosité ont grandement
contribuéàlaréalisationdecemémoire.
JeremercieaussimescollèguesàlamaîtriseenTIàHECMontréal,ilsontcertainementrendumon
parcoursauxétudessupérieuresplusagréable.UnmerciparticulieràCindyNguyenquipartage le
mêmeintérêtquemoipourlasécuritédel’informationetquim’asouventaidéelorsdel’écritureen
partageantdesarticlesetdesidées,enlisantmesébauchesoubienenm’encourageant.
Finalement,l’écritured’unmémoireestunexerciced’enduranceparfoisarduetc’estpourquoijetiens
àremerciermesamisetmafamillepourleursoutiendanslesderniersmois.Jeremerciespécialement
Chantal,Robertetmamèrequi,grâceà leur regardexterne,ont rendu, je crois, cemémoireplus
accessible. Leurs commentaires et leurs suggestions furent toujours pertinents et leurs
encouragementsfurentdéfinitivementappréciés.J’aibeaucoupdechanced’êtreentouréed’autant
degensd’exception.
vi
TabledesmatièresSOMMAIRE............................................................................................................................IV
REMERCIEMENTS....................................................................................................................V
LISTEDESABRÉVIATIONS.....................................................................................................VIII
LISTEDESFIGURES..................................................................................................................IX
LISTEDESTABLEAUX...............................................................................................................X
CHAPITRE1:INTRODUCTION...................................................................................................11.1MISEENCONTEXTE....................................................................................................................1
1.2OBJECTIFETQUESTIONSDERECHERCHE.........................................................................................5
1.3STRUCTUREDUMÉMOIRE............................................................................................................8
CHAPITRE2:REVUEDELALITTÉRATURE.................................................................................102.1MÉTHODOLOGIEUTILISÉE..........................................................................................................10
2.2L’INFONUAGIQUE:DÉFINITIONETCATÉGORISATION.......................................................................11
2.2.1Définitiondel’infonuagique.........................................................................................12
2.2.2Typesdeservicesinfonuagiques...................................................................................15
2.2.3Modesd’implantationdel’infonuagique.....................................................................18
2.3DÉFISSPÉCIFIQUESDESÉCURITÉDEL’INFORMATIONDANSUNCONTEXTEINFONUAGIQUE.....................21
2.4SOLUTIONSPROPOSÉESPOURFAIREFACEAUXDÉFISENSÉCURITÉINFONUAGIQUE...............................27
2.5APERÇUDESNORMESACTUELLESDESÉCURITÉINFONUAGIQUE........................................................32
2.5.1LignesdirectricesdelaCloudSecurityAlliance(CSA)...................................................35
2.5.2NormesISO/CEI27017et27018..................................................................................37
2.5.3RecommandationsduNIST...........................................................................................39
2.5.4Analysedespointsàretenirdesnormesetdeslignesdirectricesprésentées..............41
2.6LESCLOUDACCESSSECURITYBROKERS(CASB):UNESOLUTIONCOMPLEXEETAMBIGUË.....................44
2.6.1Lesprincipesgénéraux.................................................................................................45
2.6.2LesmodesdefonctionnementdesCASB......................................................................51
2.6.3L’étatdumarchéetlacomplexitéduproduit...............................................................57
CHAPITRE3:MÉTHODOLOGIE................................................................................................613.1DÉFINITIONDELARECHERCHEACTIONDESIGN(RAD).....................................................................61
3.2DESCRIPTIONDELAMÉTHODOLOGIE...........................................................................................63
3.2.1LaRADselonSeinetal.(2011).....................................................................................64
3.2.2Détailsdel’applicationdelaRADdansleprésentmémoire........................................70
vii
CHAPITRE4:RÉSULTATS.........................................................................................................754.1MISEENCONTEXTE..................................................................................................................75
4.2LESREQUISENSÉCURITÉINFONUAGIQUEDEL’ORGANISATIONÀL’ÉTUDE...........................................77
4.2.1Descriptiondétailléedel’étapeméthodologiquede«Construction,interventionet
évaluation»...........................................................................................................................77
4.2.2Présentationdesrésultats............................................................................................82
4.3L’OFFREACTUELLEDESFOURNISSEURSDECASB............................................................................96
4.3.1Visibilité......................................................................................................................104
4.3.2Sécuritédesdonnées..................................................................................................105
4.3.3Protectioncontrelesmenaces....................................................................................107
4.3.4Conformitéetgouvernance........................................................................................108
4.3.5Autresobservations....................................................................................................109
CHAPITRE5:DISCUSSION.....................................................................................................1115.1ANALYSEDESÉCARTSENTRELESREQUISFONCTIONNELSETTECHNOLOGIQUESDEL’ENTREPRISEÀL’ÉTUDE
ETL’OFFREACTUELLEDESCASB.....................................................................................................111
5.2L’INDUSTRIEOULECONTEXTEORGANISATIONNEL:UNDÉTERMINANTDESREQUISFONCTIONNELSET
TECHNOLOGIQUESPOURUNCASB?...............................................................................................118
5.3LEPOTENTIELETLESLIMITESDESCASB.....................................................................................120
5.3.1L’étenduedelaprotection..........................................................................................121
5.3.2L’étenduedesfonctionnalités.....................................................................................123
5.3.3Latechnologiesous-jacente.......................................................................................124
CHAPITRE6:CONCLUSION....................................................................................................1266.1RAPPELDEL’OBJECTIFETDESQUESTIONSDERECHERCHE..............................................................126
6.2SYNTHÈSEDESRÉSULTATS........................................................................................................127
6.3CONTRIBUTIONSETPISTESDERECHERCHESFUTURES....................................................................130
6.3.1Contributionsàlapratique.........................................................................................130
6.3.2Contributionsàlarechercheappliquéeetpistesderecherchesfutures....................132
6.4LIMITESDEL’ÉTUDE................................................................................................................134
BIBLIOGRAPHIE....................................................................................................................136
ANNEXEA:MOTS-CLÉSUTILISÉSPOURLARECHERCHE........................................................151
ANNEXEB:LIGNESDIRECTRICESDELACLOUDSECURITYALLIANCE.....................................152
ANNEXEC:NORMESISO/CEI27017ET27018......................................................................156
ANNEXED:RECOMMANDATIONSDUNIST..........................................................................163
viii
ListedesabréviationsAbréviation Terme
APIApplicationProgrammingInterfaceouInterfacedeprogrammation
d’application
CASB CloudAccessSecurityBroker
CEI Commissionélectrotechniqueinternationale
CIA Confidentiality,IntegrityandAvailabilityouConfidentialité,intégritéetdisponibilité
CSA CloudSecurityAlliance
DLP DataLossPreventionouProtectioncontrelapertededonnées
IaaS InfrastructureasaService
ISO Organisationinternationaledelanormalisation
NIST NationalInstituteofStandardsandTechnology
PaaS PlatformasaService
PCIDSS PaymentCardIndustryDataSecurityStandard
RAD Rechercheactiondesign
RBAC Role-basedAccessControlouContrôledesaccèsbasésurlerôle
SaaS SoftwareasaService
SIEMSecurityInformationandEventManagementouLogicieldegestiond’informationetd’événementsdesécurité
SLA ServiceLevelAgreementouEntentedeniveaudeservice
SSO SingleSign-onouLogicield’authentificationunique
TI Technologiesdel’information
ix
ListedesfiguresFIGURE2.1:SCHÉMADELAVIRTUALISATION.........................................................................................13
FIGURE2.2:DÉFINITIONDEL'INFONUAGIQUE,DESTYPESETDESMODESD’IMPLANTATION...........................20
FIGURE2.3:PARTAGEDESRESPONSABILITÉSSELONLETYPEDESERVICESINFONUAGIQUES............................26
FIGURE2.4:MODEDEFONCTIONNEMENTD’UNCASBENTANTQU’INTERMÉDIAIREVERSL’API....................53
FIGURE2.5:MODEDEFONCTIONNEMENTD’UNCASBPARPROXY...........................................................56
FIGURE3.1:PROCESSUSDERECHERCHESELONLAMÉTHODOLOGIEDERECHERCHEACTIONDESIGN.................64
x
ListedestableauxTABLEAU2.1:LESDÉFISDESÉCURITÉDEL'INFORMATIONDANSUNCONTEXTEINFONUAGIQUE......................23
TABLEAU2.2:LESSOLUTIONSPROPOSÉESENSÉCURITÉDEL’INFORMATIONDANSUNCONTEXTEINFONUAGIQUE
...............................................................................................................................................28
TABLEAU2.3:FONCTIONNALITÉSDESCASB.........................................................................................47
TABLEAU3.1:ÉTAPESMÉTHODOLOGIQUESDUPRÉSENTMÉMOIRE...........................................................71
TABLEAU4.1:SOMMAIREDESRENCONTRESAVECLESSPÉCIALISTESDEL'ORGANISATION...............................81
TABLEAU4.2:REQUISDESÉCURITÉDEL'ORGANISATIONDANSUNCONTEXTEINFONUAGIQUE........................84
TABLEAU4.3:SOMMAIREDESFOURNISSEURSDECASBETDELEURSPRINCIPALESCARACTÉRISTIQUES.............98
TABLEAU4.4:FONCTIONNALITÉSOFFERTESPARLESCASBACTUELLEMENTSURLEMARCHÉ........................100
TABLEAU4.5:CARACTÉRISTIQUESDESCASBACTUELLEMENTSURLEMARCHÉ..........................................102
TABLEAU5.1:ANALYSEDESÉCARTSENTRELESREQUISDEL’ORGANISATIONETL’OFFREACTUELLEDES
FOURNISSEURSDECASB...........................................................................................................113
DANSLESANNEXES
TABLEAUA1:MOTS-CLÉSUTILISÉSLORSDESRECHERCHESDANSLESBASESDEDONNÉES............................151
TABLEAUB1:LESLIGNESDIRECTRICESDELACLOUDSECURITYALLIANCE,VERSION3(TRADUCTIONLIBREDE
CLOUDSECURITYALLIANCE,2011)............................................................................................152
TABLEAUC1:LESRECOMMANDATIONSDELANORMEISO/CEI27017:CODEDEPRATIQUEPOURLESCONTRÔLES
DESÉCURITÉDEL'INFORMATIONFONDÉSSURL'ISO/IEC27002POURLESSERVICESDUNUAGEETDELA
NORMEISO/CEI27018:TECHNIQUESDESÉCURITÉ-CODEDEBONNESPRATIQUESPOURLAPROTECTION
DESINFORMATIONSPERSONNELLESIDENTIFIABLES(PII)DANSL'INFORMATIQUEENNUAGEPUBLICAGISSANT
COMMEPROCESSEURDEPII(TRADUCTIONLIBREDEISO/CEI27017,2015;ISO/CEI27018,2014)156
TABLEAU D1 : PUBLICATIONS SPÉCIALES DU NIST TRAITANT DE L’INFONUAGIQUE (TRADUCTION LIBRE DES
PUBLICATIONSSPÉCIALESDUNIST)............................................................................................163
1
Chapitre1: Introduction1.1MiseencontexteL’importancedurôledestechnologiesdel’information(TI)auseindesorganisationsn’estplusà
démontrer.Avecl’adoptioncroissantedesTIviennenttoutefoisplusieursrisquesenmatièrede
sécurité de l’information, une problématique de plus en plus préoccupante pour beaucoup
d’entreprises.Eneffet,malgréleniveaudesophisticationdestechnologiesdepréventiondansle
domainedelasécuritédel’information,lesbrèchessonttoujoursprésentes.Commelemontre
unsondageglobaleffectuéenmai2015,79%desrépondantsontadmisqueleurentrepriseavait
subiaumoinsunincidentdesécuritédanslesdouzemoisprécédents(PricewaterhouseCoopers,
2015).Certainesdecesbrèches,commecellesdeSonyoudeTarget,ontététrèsmédiatiséeset
ellesontoccasionnédespertesde revenusdeplusieursmillionsdedollarsenplusd’ébranler
considérablement laconfiancedupublicenverscesentreprises(PonemonInstitute,2015).Les
organisations, tant publiques que privées, ont donc un intérêt particulier à protéger leurs
systèmeset leursdonnées.D’ailleurs,encesens, les investissementsannoncésrécemmenten
sécuritédel’informationsontmassifs.1
Plusieursactivités contribuentàaccroître les risquesen sécuritéde l’informationauxquels les
entreprisesfontface.Parmicelles-ci,onretrouvelesmodesd’approvisionnementenservicesTI
etplusspécifiquementl’infonuagique,2unmoded’approvisionnementdeplusenpluspopulaire
quiposedesdéfisparticuliersensécuritéde l’informationpour lesentreprisesqui l’adoptent.
L’infonuagiqueestdéfiniecommeun«modèlequipermetunaccèsconstant,pratiqueet sur
demande à un bassin de ressources informatiques partagées (par exemple, des réseaux, des
serveurs,dustockage,desapplicationsetdesservices)quipeuventêtreacquisesetdéployées
rapidementavecuneffortdegestionminimal»(traductionlibredeMelletGrance,2011,p.2).
1Legouvernementaméricainarécemmentannoncédesinvestissementsde3,1milliardsdedollarsaméricains
ensécuritédel’information,uneaugmentationde35%parrapportàl’annéeprécédente(Green,2016).Dansla
mêmeveine,enjuillet2015,legouvernementcanadienaannoncédesdépensessupplémentairesde142millions
dedollarssurcinqansencybersécurité(Mas,2015).Lesentreprisesaussiaugmententleursinvestissements:
selonlesondagedePricewaterhouserCoopers,ellesontaugmentéleurbudgetallouéàlasécuritéde24%en
2015parrapportàl’annéeprécédente(PricewaterhouseCoopers,2015).
2L’infonuagiqueoul’informatiqueennuageestlatraductionfrançaisedecloudcomputing(Granddictionnaireterminologique de la langue française, consulté le 13 février 2016, http://www.granddictionnaire.com/
ficheOqlf.aspx?Id_Fiche=26501384).
2
Cetteavenues’avèreintéressantepuisquelatechnologiesedéveloppeàunegrandevitesseet
devient désuète tout aussi rapidement. En plus du désir de demeurer compétitives tout en
minimisantlesinvestissementsetlescoûtsd’exploitation,celaforcelesentreprisesàadopterune
infrastructuretechnologiqueplusflexiblequipermetdes’adapterrapidementauxchangements
de son environnement. L’infonuagique devient un maillon important de cette flexibilité,
entraînant un changement important de paradigme pour la gestion des technologies et des
risquesensécuritédel’informationauseindesentreprises.
L’attraitprincipaldel’infonuagiquepourlesorganisationsestlarapiditéetlafacilitéd’installation
(Waters,2005).Traditionnellement, lorsqu’uneentrepriseacquerraitunlogicieloudumatériel
informatique, elle devait d’abord mettre en place l’infrastructure technologique nécessaire
(serveurs,routeurs,réseauxetautres)enplusd’enassurerensuite l’entretienetd’enfaire les
mises à jour. À présent, avec l’infonuagique, le déploiement devient beaucoup plus rapide
puisqu’il peut se faire presque instantanément pour plusieurs utilisateurs (Hassan, 2011). Le
conceptdel’utilisateurpayeur,unprincipeàlabasedel’infonuagique,apporteuneflexibilitéqui
permetauxorganisationsderépondrerapidementauxvariationsdelademandeenajoutantdes
ressources lorsquenécessaire (ZissisetLekkas,2012)etce,enquelquesminutesplutôtqu’en
plusieurssemaines,commec’estgénéralementlecasaveclemodèletraditionnel(Armbrustet
al.,2010).Avecl’infonuagique,leparcinformatiquepeutdoncplusfacilementsuivrel’évolution
desbesoinsdel’entreprise.Finalement,l’infonuagiquepermetaussiàl’organisationderéduire
sesdépensesenacquisitionetenexploitationd’infrastructuretechnologiqueenimpartissantces
activitésàunfournisseurexternepourlequelcesactivitésconstituentlecœurdemétier(Avram,
2014;Orman,2016).
Malgré ses avantages indéniables, l’infonuagique est aussi une source importante de
préoccupationsentermesdesécuritédel’informationpourbiendesentreprises,àunpointtel
qu’ellesseraientunfreinàsonadoption(JuelsetOprea,2013).Cemoded’approvisionnement
posecertainsdéfisencequiatraitàlaconfidentialité,l’intégritéetladisponibilitédesdonnées
(Ali,KhanetVasilakos,2015).Commel’organisationimpartitunepartiedesesactivitésetdeses
donnéesàunetiercepartie,ilyaunrisquequelaconfidentialitéetl’intégritédesdonnéessoient
violées puisque celles-ci sont accessibles au fournisseur, à ses employés et à ses partenaires
d’affaires(Ryan,2013).Ladisponibilitéetlapérennitédeslogicielsetdesdonnéesreposentsur
3
lacapacitédufournisseurexterneàrespecterdesbonnespratiquesdegestiondesTI.Deplus,
commelepartagedesressourcesinformatiquesestleprincipeàlabasedel’infonuagique,une
entreprises’exposealorsàlapossibilitéquelaconfidentialitédesesdonnéessoitmiseenpéril
parlesautresutilisateursquipartagentleservice(Ryan,2013),cequiestparticulièrementvrai
dans le cas spécifique de l’utilisation de l’infonuagique publique, contexte dans lequel les
ressources d’un même fournisseur sont partagées entre différents clients (Rong, Nguyen et
Jaatun,2013).
Enplusdecesdéfis,lesnormesetlesloisauxquelleslesorganisationsdoiventseconformeren
termesdesécuritédel’informationontaussiunimpactsurlespratiquesensécuritéetdelà,sur
lesfournisseursdeservices.Lesorganisationsquiadoptentl’infonuagiquedoiventdoncs’assurer
quelefournisseurchoisirépondeauxrèglesinternesdesécurité,maisaussiqu’ilrespecteleslois
etlesnormesauxquellesellessontelles-mêmesassujetties(Rongetal.,2013).Ainsi,l’aspectlégal
derrièrelechoixd’unfournisseuretdel’exploitationdeservicesinfonuagiquesajouteunecouche
decomplexité.
Une des solutions potentielles pour remédier aux problèmes de sécurité liés à l’infonuagique
réside dans l’émergence d’une nouvelle classe de logiciels appelée Cloud Access Security
Brokers(CASB).3CettenouvelletechnologieestdéfinieparlafirmederechercheGartnerdela
façonsuivante:
« Un intermédiaire, placé entre le client et le fournisseur de services
infonuagiques,quipermetd’imposerlerespectdespolitiquesdesécuritélors
del’utilisationdesressourcesinfonuagiques.Cetintermédiairepeutêtrelui-
mêmeunserviceinfonuagiqueoubienêtrephysiquementmisenplacesurles
lieuxdel’entreprise.»(traductionlibredeMacDonaldetFirstbrook,2012,p.4)
Mêmes’ildemeuretransparentpourlesutilisateurs,leCASBreposeainsisurleprincipequ’ilest
un intermédiaire représentant l’uniquevoied’accèsauxservices infonuagiques.Pour l’instant,
toutefois,lesCASBévoquentplutôtuneclassed’outilsdontonconnaîtl’objectifglobal,maispour
laquellelesspécificationsrestentencoreàêtredéterminées.Cetteclassed’outilsviseàaccomplir
quatregrandsobjectifs :1) lavisibilité,2) lagouvernanceet le respectde laconformité,3) la
3Ilnesemblepasexisterdetraductionfrançaisepourcetteclassed’outils.L’acronymeCASBseraemployédans
letexte.
4
sécuritédesdonnéeset4)laprotectioncontrelesmenacesprovenantdel’utilisationdesservices
infonuagiques(Lawson,MacDonaldetHeiser,2015b).Lesfonctionnalitésdevisibilitépermettent
àl’organisationdesurveillerlesactivitésfaisantappelauxservicesinfonuagiques,unenécessité
considérantlaproliférationd’outilsetd’applicationsnonautorisés4quisontutilisésauseindes
entreprisesetlerisqueensécuritéquecettepratiquereprésente(SilicetBack,2014b).Encequi
atraitàlaconformité,telquementionnéprécédemment,lesentreprisessontsujettesàplusieurs
loisetnormesdesécuritéetunCASBpeut l’aideràs’yconformer,notammentenoffrantdes
fonctionnalitésdesurveillanceetdecontrôle(Lawsonetal.,2015b).Lasécuritédesdonnéesest
assuréeparcertainsCASBquioffrentdesfonctionsdechiffrementquipermettentlaprotection
desdonnéeséchangéesaveclesfournisseursdeservicesinfonuagiques(MacDonaldetFirstbrook,
2012). Finalement, bienque la plupart des fournisseurs de services infonuagiquesoffrent des
servicesdesécuritéintégrésàleursproduits,lesCASBajoutentunecouchesupplémentairede
protectioncontrelesmenacesexternes(Lawsonetal.,2015b).
Bienqu’ilstendentàvisercesquatregrandsobjectifs,lesCASBsontencoreunetechnologieen
émergence:onnesaitpastropcommentchaqueCASBsepositionneparrapportàcesobjectifs,
les fonctionnalitésnesontpasuniversellesetellesvarientselon les fournisseurs.Àce jour, la
protectionqu’offrechacunedessolutionsdisponiblesestsouventlimitéeàquelquesapplications
infonuagiquesspécifiquescomme,parexemple,SalesforceouOffice365(Lawson,MacDonaldet
Lowans,2015c).Pourcetteraison,lechoixd’unesolutionCASBestcomplexepuisqu’aucunene
répondàtouslesbesoinsdel’entreprise.Ils’agitdoncd’unchoixàlapièceetonpeuttoutde
suiteentrevoirledéficauchemardesquequecetteclassed’outilsreprésenteraaupointdevuede
l’exploitationetdel’intégrationaveclescomposantestechnologiquesactuellesdel’entreprise.
D’autrepart,lemarchédesCASBestencoretrèsimmatureetlesentreprisesquilecomposent
sont principalement de petits joueurs comme des entreprises en démarrage5 (Lawson et al.,
2015c).Cependant,lesgrandesentreprisesdelogicielscommencentdeplusenplusàs’intéresser
aux CASB et à pénétrer le marché, soit en faisant des acquisitions ou en établissant des
4CettepratiqueestcommunémentappeléeshadowIT.
5Entrepriseendémarrageestletermefrançaispourdésignerunestartup(Granddictionnaireterminologiquede
la langue française, consulté le 17 mars 2016, http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche
=507728).
5
partenariatsaveccesentreprisesendémarrage(Lawsonetal.,2015c).Cetintérêtdémontrele
dynamismeetlepotentielprometteurdecemarché.
1.2ObjectifetquestionsderechercheDanscecontexteoùl’infonuagiquedevientunmoded’approvisionnementdeplusenplusadopté
parlesentreprises,ilsembleimportantdesepenchersurlesrisquesdesécuritéquereprésente
cettefaçondefaireetsurtout,surlessolutionspermettantdefairefaceauxdéfissoulevés.La
sécurité est d’ailleurs au centre des préoccupations des entreprises qui optent pour
l’infonuagique (Goettelmann, Mayer et Godart, 2013). Bien que certains organismes comme
l’Organisation internationale de normalisation (ISO) ou la Cloud Security Alliance (CSA) aient
commencé à publier des normes spécifiques à la sécurité infonuagique et qui formulent des
recommandationsencadrantl’adoptiondecesservices,lafaçondemettreenplacecesnormes
est laisséeà ladiscrétiondesentreprises (CloudSecurityAlliance,2011; ISO/CEI27017,2015).
Ainsi, l’établissementdesbesoinsensécurité infonuagiqueet lasélectiondespratiquesetdes
outils àmettre en place pour les combler représentent aujourd’hui un défi de taille pour les
organisations(Heiser,2015;Mouratidis,Islam,KalloniatisetGritzalis,2013).
Danscecontexte,lesCASBoffrentunpotentielattrayantpourlesorganisationsquisouhaitentse
protéger contre les risques engendrés par l’infonuagique. Aujourd’hui, toutefois, cette classe
d’outilsreprésenteplusunprincipequedessolutionslargementdisponiblessurlemarchéetleur
plein potentiel n’est pas encore défini ou même connu. En effet, les CASB entrent dans la
catégorie des produits complexes et ambigus. Novak et Eppinger (2001) considèrent qu’un
produit est complexe selon trois caractéristiques : 1) le nombre de composantes du produit,
2) l’envergure des interactions à gérer entre ces différentes composantes et 3) le degré de
nouveauté du produit. Selon cette définition, les CASB peuvent être considérés complexes
puisqu’ilsontgénéralementplusieursfonctionnalitésquidoiventnonseulementinteragirentre
elles,maisaussiaveclesautressystèmesdel’organisation(Lawsonetal.,2015c).Deplus,ilsont
undegrédenouveautéélevécommelemontrentl’immaturitédumarchéetletauxd’adoption
encorefaible.D’autrepart,lesCASBsontdesproduitsambigus,c’est-à-direque«l’interprétation
duproduit[…]etdumarchéchangeconstamment»(traductionlibredeBrun,SteinarSaetreet
6
Gjelsvik,2009,p.80),justementàcausedudegrédenouveautédecetteclassed’outilsetdeson
potentielencorenondéfini.
CommelesCASBfontpartiedecestechnologiesquel’onpeutqualifierd’émergentes,complexes
etambiguës,celarendladéfinitiondesbesoinsetl’évaluationdesfournisseurséventuelsdifficiles
pour l’entreprise souhaitant lesadopteroumêmeseulementenévaluer lepotentiel.Dans ce
contexte, l’objectifdecemémoireestdoncdecontribueràunemeilleurecompréhensiondes
CASB et de leur potentiel à répondre aux besoins en sécurité des organisations face à
l’infonuagique. Le mémoire se concentre plus spécifiquement sur le cas des entreprises de
l’industrie de la finance et de l’assurance. En effet, l’industrie à laquelle appartient une
organisation pourrait avoir une incidence sur ses besoins en sécurité de l’information, ce qui
pourrait mener à des requis fonctionnels et technologiques différents en termes de CASB.6
L’industriedelafinanceetdel’assurancereprésenteunsecteurdechoixpourlaprésenteétude
parcequ’elleregroupedesentreprisesquisedoiventd’êtreàlafinepointedelatechnologie,qui
détiennentdel’informationhautementconfidentiellesurleursclientsetpartenairesd’affaireset
quisonttenuesderespecterplusieursloisetnormesencequiatraitàlasécuritédel’information.
Cesconditions, jumeléesà lavolatilitéde sonenvironnementetauxavantagespotentielsdes
services infonuagiques dans un tel contexte, font en sorte que l’industrie symbolise un cas
« extrême » duquel pourraient s’inspirer d’autres entreprises dont les besoins en sécurité
pourraients’avérerplusmodestes.
Ainsi,lesquestionsderechercheauxquellestentederépondrecetteétudesontlessuivantes:
1. Quels sont les requis fonctionnels et technologiques pour un CASB utilisé par une
organisationdudomainedelafinanceetdel’assuranceauCanada7?
6Danslecadredecemémoire,unbesoinestuneexigence(atteinted’unobjectif,réalisationd’unprocessusou
d’une tâche, etc.) identifiée comme étant manquante et nécessaire par l’organisation afin de protéger ses
données.Unrequisconsisteplutôtenunefonctionnalitéouunespécificationtechniquepourunoutilquipermet
decomblerlebesoinidentifié.
7SelonStatistiqueCanada,«cesecteurcomprendlesétablissementsdontl'activitéprincipaleconsisteàeffectuer
desopérationsfinancières(c’est-à-diredesopérationsportantsurlacréation,laliquidationoulacessiond'actifs
financiers)ouàenfaciliterl'exécution»(StatistiqueCanada(2012).«Systèmedeclassificationdesindustriesde
l’AmériqueduNord(SCIAN)Canada»,p.369).
7
2. QuellessontlesfonctionnalitésetlescaractéristiquesdesCASBactuellementoffertssur
lemarché?
3. CommentlessolutionsdetypeCASBactuellementoffertessurlemarchérépondent-elles
auxrequisidentifiés?
Afinrépondreauxquestionsderechercheénoncéesci-dessusdanslecontextedel’établissement
desfonctionnalitésd’unproduitcomplexeetambigu,uneapprochebaséesurlaméthodologie
de recherche action design (RAD) est adoptée. L’établissement des requis fonctionnels et
technologiquess’estfaitdanslecontexted’unegrandeentreprisecanadienneévoluantdansle
secteurchoisi.
L’étude contribue à l’avancement des connaissances dans le domaine considérant que la
littérature scientifique et professionnelle est plutôt limitée sur le sujet de la sécurité dansun
contexteinfonuagiqueetencoredavantagesurlesCASB.Commecettetechnologieestrécente
etenconstanteévolution,ilyatrèspeud’informationàcesujetmisàpartquelquesarticlesde
lafirmederechercheGartnerquiendéfinitleprincipedebase.Lemémoiresepenchedoncsur
ladéfinitiondesCASBet ladéterminationde leurs requis,considérantqu’ils fontpartied’une
classe de produits complexes et dont la compréhension actuelle est limitée. Ce mémoire
contribueainsiàlalittératureenétablissantlebassindefonctionnalitésqu’unCASBpeutoffrir
auxentreprisesdansledomainedelasécuritéinfonuagique.Leslimitesidentifiéesouvrentlavoie
versdenouvellesavenuesoùlarecherchedoitêtreapprofondie.
Unefoisladéfinitiondecetteclassed’outilsétablie,lemémoirepermetdecomprendrecomment
les CASB, dans leur forme actuelle, répondent aux besoins de sécurité de l’information des
entreprisesdelafinanceetdel’assurance.IlsepenchesurlepotentieldesCASBentantqu’outil
d’automatisation des processus de sécurité de ces entreprises. Quoique les entreprises de
l’industriedelafinanceetdel’assurancedoiventrépondreàdesnormescommunes,ilestclair
quecertainsdesélémentsdesrésultatsdelaprésenteétudesontspécifiquesàl’environnement
contextuel de l’organisation étudiée. Ces éléments incluent l’infrastructure technologique de
l’entreprise,leniveauderisquequ’elleestprêteàassumeroulecontenudescontratsnégociés
aveclesfournisseursinfonuagiques.Toutefois,considérantquelesentreprisesdecesecteuront
toutesdesactivitéssimilaires,quelaréglementationentourantlesactivitésdesfirmesdumilieu
8
de la financeetde l’assuranceest trèsstricteetque leniveaudematurité technologiquedes
entreprisesdecedomaineestsensiblementlemême,lesrésultatsprésentésdansl’étudesont
engrandepartiegénéralisablesàl’échelledel’industrie.Lesentreprisesdecesecteurpourront
utiliserlesrequisidentifiéspourlesguiderdansleprocessusdesélectionoudedéveloppement
d’un CASB dans un contexte où l’élaboration des requis est basée sur des besoins qui sont
généralementinconnusàcausedel’immaturitédelatechnologie.Au-delàdesspécificitéspropres
à l’industrie, le mémoire met en lumière d’autres caractéristiques organisationnelles qui
pourraientavoiruneinfluencesurlesrequispourunCASB.
1.3StructuredumémoireÀlasuiteduprésentchapitre,larevuedelalittératurepermetd’établirlesbasesthéoriquessur
lesquelless’appuieracemémoireainsiquel’interventionenentreprise.Ellerecenselesécritsen
sécuritédel’information,lesdéfisprésentsdansuncontexted’utilisationdel’infonuagiqueetles
normesencadrantcemoded’approvisionnement.Àlafindelarevue,lesCASBsontprésentés
comme un outil potentiel pour mitiger les risques associés à certains des défis en sécurité
infonuagique.
Letroisièmechapitredécritlaméthodologiechoisiepourcemémoire,larechercheactiondesign.
Cetteméthodologie,quiestunhybrideentrelarechercheactionetledesignscience,permetde
créer, grâce à l’intervention en entreprise, des artefacts permettant de répondre aux trois
questionsderecherche.Danscechapitre,chacunedesétapesmenantàlaréalisationdumandat
et à la formulation des réponses aux questions de recherche et la façon dont celles-ci sont
appliquéesspécifiquementdanscemémoiresontexpliquées.
Lesrésultatsdel’interventionenentreprise,soitlagrilledesrequis,sontprésentésauquatrième
chapitredumémoire(artefact#1).Enoutre,afindefaciliterladiscussionetpourrépondreàla
deuxièmequestionderecherche,unrecensementdesfournisseursactuels,deleursproduitset
deleursfonctionnalitésestréalisédanscemêmechapitre(artefact#2).
Finalement,encinquièmepartiedumémoire,unediscussionpermetdefairelalumièresurles
écartsentrelesrequisdel’organisationàl’étudeetlesfonctionnalitésdesproduitsactuellement
9
en vente sur lemarché (artefact #3). Cette analysedesécartsmèneensuite àunessai sur le
potentiel des CASB comme outil de centralisation et d’automatisation de la sécurité de
l’information.Lemémoireseconclutsurlescontributionsdel’étude,tantpourlapratiqueque
pourlarecherche,ainsiquesurseslimites.
10
Chapitre2: RevuedelalittératureL’objectif premier de la revue de la littérature est de présenter le cadre dans lequel se fera
subséquemmentletravaild’élaborationdesspécifications.Cetteconnaissances’avèreessentielle
àunecompréhensiondesdéfisensécuritéinfonuagiqueetàlaréalisationd’extrantspertinents.
En guised’introduction, la revuede la littératuredécrit l’infonuagiqueet ses caractéristiques.
Ensuite,considérantquel’infonuagiqueposecertainsdéfisdesécuritéquiluisontspécifiques,un
recensement de ces défis est exposé. Il s’ensuit un inventaire des besoins en sécurité de
l’informationselonlesnormesensécuritéutiliséesdansl’industriedelafinanceetdel’assurance
auCanada,s’affairantplusspécifiquementàprésentercellestouchantl’infonuagique.Parlasuite,
leslogicielsdetypeCASBysontdéfinispuisqu’ilsreprésententunesolutionpossibleàplusieurs
des défis identifiés. Cependant, comme il s’agit d’une technologie nouvelle dans un marché
immature,cesontplutôtlesprincipesgénérauxquilasous-tendentquiysontdécrits.Endernier
lieu,larevuedelalittératureexplorelesraisonsquiexpliquentquelesCASBsontdesproduits
complexes.
La couverture de tous ces thèmes permet l’enrichissement de la réflexion sur la sécurité de
l’informationdansuncontexteinfonuagique.L’objectifdelarevuedelalittératureestdoncde
jeterlesbasespourlasuitedumémoire.
2.1MéthodologieutiliséeUnepremièrerecherched’articlesetdecomptesrendusdeconférenceaétéeffectuéedansles
basesdedonnéesABI/InformComplete,EBSCOhostBusinessSourceCompleteetIEEE.Labase
dedonnéesdeGoogleScholaraétéutiliséeencomplément.Lesarticlestrouvésdecettefaçon
concernent principalement les thèmes de la sécurité de l’information et de l’infonuagique.
Malheureusement, comme les CASB sont une technologie émergente et que, selon nos
recherches,8aucunarticlescientifiqueoucompterendudeconférencen’aencoreétéécritsurle
sujet, lemoteurderechercheGoogleapermisdetrouverdesarticlesprofessionnelssurcette
classe d’outils. Les sites Internet des fournisseurs de CASB sont aussi une source importante
8Endatedu19août2016.
11
d’information sur ces produits et leur fonctionnement. Les bases de données des firmes de
rechercheGartneretForresterontétéspécialementutilespourtrouverdeladocumentationsur
lesCASBentantquetelpuisquelaplupartdesinformationssurlesujetproviennentderapports
publiésparcesorganisations.Touslesarticlesrecenséssontdisponiblesenformatélectronique.
Enplusdesarticles,lesitewebdelabibliothèquedeHECMontréalapermisderechercherde
l’information sur la sécuritéde l’informationparmi sa collectionde livresen formatpapier et
numérique.Lesmots-clésutiliséspourlesrecherchessontprésentésdansuntableaudisponible
àl’annexeA.
Afin d’approfondir les connaissances en infonuagique et plus spécifiquement en sécurité, le
principedebackwardsearch,quiconsisteàchercherparmilestravauxcitésdansunarticle,et
celuideforwardsearch,quiviseàanalyserlesdocumentscitantunarticleenparticulier,ontété
utilisés(SilicetBack,2014a).Cependant,cetteméthodederepéragen’apuêtreappliquéedans
lesrecherchessurlesCASBpuisque,telquementionnéplushaut,aucuneétudescientifiquesur
lesujetn’apuêtreidentifiée.
Finalement,lessiteswebdesdiversorganismescommeceuxdelaCloudSecurityAlliance(CSA)
etduNationalInstituteofStandardsandTechnology(NIST)sontdessourcesderenseignements
importantessurleslignesdirectricesensécuritéinfonuagique.Pourcequiestdesnormesd’ISO
etdelaCommissionélectrotechniqueinternationale(CEI),ellessontdisponiblesenformatpapier
àlabibliothèquedeHECMontréal.
2.2L’infonuagique:définitionetcatégorisationD’abord,commel’infonuagiqueestaucœurdecemémoire,ilestimportantdebienladéfinir,
d’enexpliquerlesprincipesdebaseetd’explorerlesformesqu’ellepeutprendre.Cettesection
se veut donc un survol de ce qu’est l’infonuagique et de ses différents types et modes de
fonctionnement.
12
2.2.1Définitiondel’infonuagiqueBienquel’infonuagiqueaitconnuunessorspectaculairependantladernièredécennie,leprincipe
debasederrièrececonceptn’estpourtantpasnouveau.Eneffet,dès1961,JohnMcCarthy,un
professeur d’informatique à l’université Stanford, propose l’idée que l’informatique devienne
éventuellement une commodité payable à l’utilisation comme l’électricité (Erl, Mahmood et
Puttini, 2013; Hassan, 2011). L’infonuagique est le résultat de plusieurs avancées,
particulièrementdugaind’efficacitédelatechnologiedûaudéveloppementrapidedelacapacité
desprocesseurs9(Marstonetal.,2011).Cetteaugmentationdelapuissancedesprocesseursa
notammentpermislaréductiondescoûtsd’infrastructureetdelà,laconstructiond’immenses
centresdedonnéescontenantdesmilliersde serveurs, le tout contribuantainsià l’essoretà
l’accessibilitédel’infonuagique(Armbrustetal.,2009).
L’augmentation de la capacité des processeurs a permis plusieurs autres avancées en
informatiquecommelavirtualisation,leprincipeàlabasedel’infonuagique(Orman,2016;Zissis
etLekkas,2012).Lavirtualisationestlacréationd’uneplateformevirtuelleoud’uneimaged’un
élément,quecesoitd’unsystèmed’exploitation,d’unréseauoud’unserveurdestockage(Laan,
2013). Ce type d’abstraction permet à l’ordinateur d’exécuter plusieurs processus en même
temps sans qu’ils interfèrent entre eux (Orman, 2016). Ainsi, la virtualisation permet de
partitionnerunsystèmeendifférentesmachinesvirtuellesquiontchacuneleurpropresystème
d’exploitation (Scarfone, Souppaya et Hoffman, 2011). De cette façon, différents utilisateurs
peuventpartager lamême infrastructuregrâceàdesmachinesvirtuelles comme lemontre la
Figure 2.1. Celles-ci sont gérées par l’hyperviseur10 dont le rôle est d’allouer les ressources
disponibles de façon dynamique et de gérer les échanges d’instructions entre ces machines
virtuelles(Gordon,2016).Ainsi,grâceàlavirtualisation,lefournisseurdeservicesinfonuagiques
peut maximiser l’utilisation de ses ressources en les rendant simultanément disponibles à
9En1965,GordonMoore,quiestdevenuplustardundesfondateursdel’entreprisedemicro-processeursIntel,
apubliéunarticledevenucélèbredanslequelilafaitlaprédictionquelenombredecomposantesélectroniques
utiliséesdanslafabricationdemicro-processeursdoubleraittouslesdeuxans.Cetteprédiction,quiestconnue
souslenomde«LoideMoore»,s’estdepuisréaliséeetc’estcequiapermisauxordinateursetautresappareils
électroniquesdesedévelopperdefaçonexponentielledanslescinqdernièresdécennies(Cross,2016;Waldrop,
2016).
10L’hyperviseurestlatraductiondutermeanglaishypervisor(Granddictionnaireterminologiquedelalangue
française,consultéle29juin2016,http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8350552).
13
plusieurs utilisateurs qui sont isolés par les frontières virtuelles établies entre les différentes
machines.
Unautrefacteurquiapermisàl’infonuagiquedeprendresonessorestledéveloppementdes
réseaux de communication à haute vitesse, rendant le partage de données plus facile et
permettantdeconnecterlesutilisateursentreeux(DwivedietMustafee,2010).Cetteavancée,
jumeléeà l’augmentationde lafiabilitédesréseauxdans ladeuxièmemoitiédesannées1990
(Ball,ColbournetProvan,1995),apermisl’adoptionetladémocratisationdel’Internet,créant
unbassingrandissantdeclientspotentielspourlesservicesinfonuagiques.Ainsi,leséconomies
d’échellerenduespossiblesparlepartagedesressources,unprincipeàlabasedel’infonuagique,
se sont concrétisées, forçant les gros joueurs de l’industrie informatique à se tourner vers ce
nouveaumoded’approvisionnement(Buyyaetal.,2009).
Figure2.1:Schémadelavirtualisation
(AdaptationdeLaan,2013,p.485)
Bien que le concept de l’infonuagiquedate des années 1960, le terme cloud computing n’est
utiliséseulementquedepuislesannées1990(Erletal.,2013)etilprovientdusymboledenuage
quiestutiliséeninformatiquepourreprésenterl’Internetdansdesdiagrammes(ZissisetLekkas,
2012). Il existe plusieurs définitions de ce qu’est l’infonuagique, mais la plupart des auteurs
14
s’entendentpourutiliserladéfinitionduNationalInstituteofStandardsandTechnology(NIST),
unorganismedugouvernementaméricainqui veilleàpromouvoir l’innovationpar lamiseen
place de normes et de métriques (NIST, 2016). Pour les besoins de cette étude, c’est cette
définitionquiserautilisée.Ainsi,l’infonuagiqueest:
«Unmodèlequipermetunaccèsconstantet surdemandeàunbassinde
ressourcesinformatiquespartagées(parexemple,desréseaux,desserveurs,
du stockage, des applications et des services) qui peuvent être acquises et
déployées rapidement en libre-service avec un effort de gestionminimal »
(traductionlibredeMelletGrance,2011,p.2).
Ainsi,toujoursselonleNIST,l’infonuagiquereposesurcinqgrandsprincipes:
1. Accessibilitésurdemandeetenlibre-serviceparl’utilisateur
Une foisque l’accordentre l’utilisateuret le fournisseurdeservices infonuagiquesest
conclu,l’utilisateurpeutaccéderauserviceinfonuagique,aubesoinetsansintervention
humaine(Alietal.,2015).
2. Accèsparleréseau
LeserviceinfonuagiquedoitêtredisponibleentouttempsvialeréseauInternet(Mellet
Grance,2011).Ainsi,avecl’essordestechnologiesmobiles,l’infonuagiqueapermisaux
employésdel’entreprised’avoiraccèsauxapplicationsetauxdonnéesàpartirdetout
appareildisposantd’uneconnexionInternet.
3. Miseencommundesressources
Les ressources du fournisseur de services infonuagiques sont mises en commun et
partagéesdynamiquemententre ses clients grâceà la virtualisation.Cependant, cette
architectureesttransparentepourl’utilisateurfinalpuisquelepartagederessourcesn’a
pasd’impactsurcedernier,chaqueutilisateurétantisolédesautresparlavirtualisation
(Erletal.,2013).Cettecolocationpermetaufournisseurdemaximiserl’allocationdeses
ressourcesentresesdifférentsclientsetd’ainsirentabilisersoninvestissement.
4. Élasticitéetrapidité
L’utilisateurnepaiequepourleservicequ’ilutiliseetpeutrapidementajouterouréduire
laquantitéderessourcesinfonuagiquesqu’ilmobilisepourcomblersesbesoins(Alietal.,
15
2015). L’infonuagique est donc un mode d’approvisionnement qui offre une grande
flexibilitéàl’entreprisel’adoptantpuisqu’ellepeutrapidementajustersaconsommation
deressourcesinformatiquesetnepayerseulementquepourlaquantitéqu’elleutilise.
5. Mesuredel’utilisationduservice
Comme les services infonuagiques sont utilisés sur demande, leur utilisation varie
constamment. Ces variations sontmesurées par le fournisseur de façon à allouer les
ressources infonuagiques dynamiquement et ainsi optimiser leur utilisation (Mell et
Grance,2011).Ellesserventaussiàétablirlafacturationpuisqueleserviceestpayableà
l’utilisation.
L’infonuagiqueesten faitunmoded’approvisionnementoù leclient impartitunepartieou la
totalité de son infrastructure, de ses plateformes de développement ou de ses logiciels à un
fournisseur.Contractuellement,unaccordsurleniveaudeservice(ServiceLevelAgreementou
SLA)permetaufournisseuretauclientdes’entendresurletypeetlaperformanceattenduedu
service, le partage des responsabilités, l’imputabilité et la gouvernance des données (Cloud
SecurityAlliance,2011;Takabi,JoshietAhn,2010).
2.2.2TypesdeservicesinfonuagiquesQuoique la discussion précédente établisse les principes de base de l’infonuagique, il est
nécessairedecomprendrequesamiseenœuvrepeutvarier.Onreconnaîtgénéralementqu’il
existe trois différents types de services infonuagiques, l’Infrastructure as a Service (IaaS), la
PlatformasaService(PaaS)etleSoftwareasaService(SaaS).Cestypessontimportantspuisqu’ils
définissent les services renduset la naturede cesderniers aune incidence sur les risquesen
sécuritédel’information.Afindecomprendrelarépartitiondesresponsabilités,ilconvientdese
représenterl’architectureinformatiqueentermesdecouches.Àlabase,ilyalacouchephysique
quiinclutleréseauphysique,lestockageetlesserveurs.Au-dessus,ilyalacoucheassociéeàla
plateformequi comprend le réseauvirtuel, le systèmed’exploitationet le tempsd’exécution.
Finalement,lacoucheapplicativecontientlesapplicationsetlesdonnées.Pourchaqueservice
infonuagique, la responsabilité et l’imputabilité pour la sécurité des différentes couches sont
réparties différemment (Ouedraogo et Mouratidis, 2013). Ainsi, le SaaS héritera des
16
caractéristiques du PaaS et du IaaS alors que le PaaS héritera des caractéristiques du IaaS
seulement(Aguiar,ZhangetBlanton,2013;CloudSecurityAlliance,2011).
Lepremiertypeestl’InfrastructureasaService(IaaS)quifournitlematériel(hardware)aucœur
d’unearchitectureinformatique,tellestockage,lamémoire,leréseauetlesprocesseursetce,
généralementàl’aidedetechnologiesdevirtualisation(Alietal.,2015;Hassan,2011;Mouratidis
etal.,2013).Ellepermetdoncauclientderéduirelescoûtsd’installationetdemaintenancede
sonparcinformatiquepuisquesoninfrastructure,oudumoinsunepartiedecelle-ci,estimpartie
à un fournisseur de services. La responsabilité de s’assurer que l’infrastructure et les images
virtuellessoientsécuritairesrevientaufournisseurpuisquec’estcedernierquienalecontrôle
(Cloud Security Alliance, 2011; Ouedraogo et Mouratidis, 2013). Cette pratique est donc
intéressantepouruneorganisationquinesouhaitepasinvestirmassivementdansl’achatetla
maintenancedematérielinformatique(Erletal.,2013).Lefournisseurdétenantactuellementla
plusgrandepartdumarchémondialpourl’IaaSestAmazonWebServices,unedivisiondusitede
commerce en ligne Amazon.com. Vient ensuite Microsoft avec son produit Azure, puis une
quinzaine d’autres fournisseurs, comme IBM, VMware et Rackspace, se partagent le reste du
marché(Leong,ToombsetGill,2015).
Ensuite,ilyalaPlatformasaService(PaaS)quipermetauclientd’utiliserunensembled’outils
ainsiqu’unenvironnementdedéveloppementd’applications(Alietal.,2015).Laplateformeainsi
offertepermetauxprogrammeursdedévelopper,detesteretdemettreàjourdesapplications
et ce, dansunenvironnementqui permet l’intégrationde ces applications entre elles (Kepes,
2016). La compatibilité entre ces applications est donc assurée puisqu’elles utilisent lemême
langage,lesmêmeslibrairiesd’objetsetlemêmeensembled’outilsquisonttousoffertsparle
concepteur via le fournisseur de services infonuagiques. Il faut toutefois préciser que ces
plateformesoffertesenmode infonuagiquesontgénéralementassociéesàunenvironnement
logiciel spécifique. Donc, la PaaS fournit un écosystème qui permet à une organisation de
développer et de déployer rapidement et économiquement des applications puisque
l’organisation a accès à une variété d’outils de développement sans avoir à investir dans
l’infrastructuresous-jacente(CloudSecurityAlliance,2011).DesexemplesdePaaSsontGoogle
AppEnginedelacompagnieaméricaineGoogleoubienForce.comdel’entrepriseSalesforcequi
permettent aux clients de développer leurs propres applications compatibles avec leur
17
écosystèmerespectifetensuitedelesvendreoudelespartageraveclerestedelacommunauté
(Kshetri,2013).
Finalement, le dernier type de services infonuagiques est le Software as a Service (SaaS) qui
permetauclientd’utiliserlesapplicationsd’unfournisseurainsiquedestockerlesdonnéesquiy
sontassociées(CloudSecurityAlliance,2011).L’accèsaulogicielpeutsefairedediversesfaçons,
mais la prédominante est par un navigateur web. Généralement, le logiciel est offert à coût
récurrent sous forme de licence pour chacun des utilisateurs. Pour ce type de services
infonuagiques,leclientnegèrepasl’infrastructureetlaplateformenécessairesàl’utilisationdu
logicielcarcelaestassuméparlefournisseur(ZissisetLekkas,2012).Encontrepartie,cettefaçon
de faire vient avec des risques de sécurité puisque toutes les données liées aux applications
utiliséesenmodeinfonuagiquesontlogéesettraitéesparlefournisseur(Ardagna,Asal,Damiani
etVu,2015).Ainsi,contrairementautypeIaaS,leclientamoinsdecontrôlepuisqu’ilnepeutpas
choisirquellesdonnéessontstockéessurlesserveursdufournisseur.Pourcertainesentreprises,
cela représente une barrière à la transition vers des services infonuagiques parce qu’elles ne
souhaitentpasperdrelecontrôlesurleursdonnées(Hashizume,Rosado,Fernández-Medinaet
Fernandez,2013).IlexisteunepanopliedejoueursdanslemarchédesSaaScomblantautantdes
besoins d’affaires que des besoins personnels. D’ailleurs, selon la revue Forbes, la valeur du
marchédesSaaSs’élevaità49milliardsdedollarsaméricainl’andernier(Columbus,2015).Des
exemplesdeSaaSsontdesservicesdecourrierélectronique(ex:GmailouOutlookWebAccess),
de rédaction de documents (ex : Google Docs ou Office 365) ou des applications d’affaires
(ex:WorkdayouSalesforce).
Certains auteurs ou professionnels dumilieu ajoutent d’autres catégories de services comme
ProcessasaService,HardwareasaService,DataasaService,etc.auxtroistypesdebasequifont
consensus.Cependant,cesadditionspeuventseconcevoircommedessous-typesplutôtquedes
typesdistinctsde services.C’estpour cette raisonquepour lesbesoinsde cemémoire, seuls
l’IaaS,laPaaSetleSaaSsontconsidérés.
18
2.2.3Modesd’implantationdel’infonuagiquePeuimporteletypedeservicessélectionné,celui-cipeutêtreimplantéselonquatredifférents
modesd’infonuagique.Onreconnaîtengénéralquatremodesd’implantationdel’infonuagique:
public, privé, communautaireethybride (Mell etGrance,2011). Tout commepour le typede
services,lemoded’implantationauraunimpactimportantsurleniveaudesécuritédesdonnées
et des applications utilisées. Le choix d’un mode d’implantation dépendra des besoins de
l’organisationentermesdecontrôle,desatoléranceaurisqueetdel’importanceaccordéeaux
donnéesquisontencause(Mouratidisetal.,2013).
L’infonuagiquepublique(publiccloud)estunmoded’implantationparlequell’infrastructureest
disponible au grandpublic oubienpartagéeentreplusieursorganisations (Rong et al., 2013).
Cette infrastructure appartient au fournisseur de services infonuagiques et les clients qui se
procurentsesservicesselapartagentsansconnaîtrel’identitédesautresclientsquiutilisentles
mêmes ressources qu’eux. Il existe donc certains risques de sécurité associés à ce mode
d’implantationpuisque,commelesressourcessontpartagées,unebrècheouunevulnérabilité
pourraitpotentiellementaffectertouslesutilisateurs(Mouratidisetal.,2013).Unautrerisque
provient du fait que, comme le service entre les différents clients n’est séparé que de façon
virtuelle,ilestplusfacilepourunclientmalintentionnédeprofiterdesonaccèsàl’infrastructure
pourenexploiterunevulnérabilitéetattaquerunautreclient(OuedraogoetMouratidis,2013).
Malgrélesrisques,88%desentreprisesutilisaientl’infonuagiquepubliqueen2015,toustypes
deservicesconfondus(RightScale,2015).
Lesecondmode,l’infonuagiqueprivée(privatecloud),estconsidérécommeplussécuritaireparce
quelesressourcesinfonuagiquessontutiliséesparuneseuleentreprise(Alietal.,2015).Ilya
deuxpossibilités:l’entreprisepeutimpartirsesressourcesinformatiquesàunetiercepartiequi
lui fourniraune infrastructuredédiéeoubien, l’entreprisepeutelle-mêmemettreenplaceet
gérer ses ressources infonuagiques. Dans le cas où le service est géré par une tierce partie,
l’infonuagiqueprivéeressemblebeaucoupàdel’hébergementdédiédansuncentrededonnées
puisquelesressourcessontconsacréesseulementàl’organisationetnesontpaspartagéesavec
d’autres.Ladifférenceavecl’hébergementdédié,danscecas,résidesurtoutdanslesprincipes
debasedel’infonuagiquequipermetl’accessibilitésurdemandeetenlibre-service,l’élasticitéet
larapidité.Ainsi,danslecasdel’infonuagiqueprivée,iln’estpasnécessairederenégocieravec
19
lefournisseurchaquefoisquedesressourcesinformatiquessontrequises;l’utilisateurn’aqu’à
en faire la demande et les ressources sont généralement disponibles en quelques minutes
(Bittman,2016).Lesmêmesprécautionsdesécuritéquepourl’hébergementdédiés’appliquent
alors.
Dans le second scénario de l’infonuagique privée, l’entreprise gère, par l’entremise de son
départementTI,l’achat,l’installationetlamaintenancedumatérielinformatique.Lesdifférentes
unitésd’affairesagissentcommelesclientsdudépartementTIquilesapprovisionnentselonleurs
besoins(CloudSpecialInterestGroupetPCISecurityStandardsCouncil,2013).Ils’agitdoncplutôt
d’un mode de livraison des ressources informatiques internes plutôt qu’un mode
d’approvisionnement.Mêmesicemodede livraisonpeutexercerunegrandepressionsur les
pratiquesdegestioninternes, lesrisquesdesécuritérattachésàuntelmodedelivraisonsont
très similaires à ceuxd’une infrastructure traditionnellepuisque lesdonnéesdemeurentdans
l’enceintede l’entrepriseet sont sous soncontrôleen tout temps (Gordon,2016).Puisquece
mémoiretraitedelasécuritédansuncontexted’impartitioninfonuagique,seullepremiercasde
figure dans lequel l’organisation impartit le service à un fournisseur externe sera considéré
lorsqu’ilseraquestiondel’infonuagiqueprivée.
Mêmesiellepermetunesécuritéaccrue,l’infonuagiqueprivéecommandegénéralementuncoût
plusélevéquepourlemodepublic.Danslecasoùl’entreprisegèreelle-mêmeleservice,elledoit
posséderetgérersoninfrastructureetenassumertouslesfrais.Danslecasoùellefaitaffaire
avec une tierce partie, le coût d’avoir un service dédié et les ressources qui l’accompagnent,
s’avèreplusélevéquepourlemoded’implantationpublic.Selonunsondagerécent,c’estenviron
63 % des organisations qui utiliseraient le mode d’implantation privé, les deux scénarios
confondus(RightScale,2015).
Letroisièmemode, l’infonuagiquecommunautaire(communitycloud),ressemblebeaucoupau
mode privé, sauf qu’au lieu d’avoir des ressources dédiées à une seule entreprise, elles sont
partagéesparmiunregroupementd’entreprisesquiseconnaissentetquiontdesobjectifsde
sécurité ou d’affaires similaires (Zissis et Lekkas, 2012). Généralement, une tierce partie agit
commefournisseurdeservices infonuagiquespour lacommunauté.L’avantaged’implanterce
moded’infonuagiquepourungrouped’entreprisesestdeprofiterd’unesécuritéplusgrandeque
20
pourl’infonuagiquepubliquecarunerelationdeconfianceestdéjàétablieentrelesentreprises
faisant partie de la communauté. Elles partagent aussi le coût élevé de l’infrastructure.
Cependant,lerisquequ’undesclientsessaied’exploiterunevulnérabilitédel’infrastructureest
toujoursprésent.
Finalement,lemodehybrideest,commesonnoml’indique,unecombinaisondesmodesprivéet
public.Lamiseenplacedecemodeimpliquequel’entreprisefaitlechoixd’avoirunepartiedes
serviceslivréedansunmodeprivé,soitàl’interneoubienavecl’aided’unfournisseur,alorsque
l’autre partie est déployée par l’infonuagique enmode public (Laan, 2013). Lemode hybride
permetàl’entreprisedeminimisersescoûtsgrâceaumodepublictoutenconservantuncertain
contrôlesurlesdonnéesqu’ellejugecritiquesgrâceaumodeprivé(Rongetal.,2013).
La figure suivante offre un résumé des principes, des types de services et des modes
d’implantationdel’infonuagique.
Figure2.2:Définitiondel'infonuagique,destypesetdesmodesd’implantation
(TraductionlibredeCloudSecurityAlliance,2011,p.13)
À la lumière des sections précédentes, on constate que l’infonuagique est un mode
d’approvisionnementcomplexeetquelesoptionssontnombreuses.Loind’êtremutuellement
exclusifs,lestypesdeservicesetlesmodesd’implantationpeuventêtrecombinés.Lechoixde
21
l’un ou l’autre dépend de plusieurs facteurs, dont la sécurité et l’usage qui en sera fait. Les
entreprisesontdoncsouventrecoursàplusieursfournisseurspourcomblerleursbesoinsenTIet
mitiger les risques de sécurité. La multiplication des types de services et des modes de
déploiement fait en sorte que les options quant au choix d’un service infonuagique sont très
nombreuses. En outre, les logiciels, les plateformes et l’infrastructure de ces différents
fournisseurschoisisdoiventavoiruncertaindegrédecompatibilitéentreeux.Touscesservices
doiventêtrecompatiblespourassurerlafluiditédel’échangedel’information,lacollaborationet
pouréviterdecréerdessilosauseindel’entreprise.Toutcelafacilitel’utilisationpourl’utilisateur
finalpourquiletoutesttransparent.L’interopérabilitéentrelesdifférentsservicesinfonuagiques
permetaussidechangerrapidementdefournisseuroud’ajouterdescomposantessansdevoiry
consacrerdegrandseffortsd’ingénierie(CloudSecurityAlliance,2011).Ainsil’augmentationdu
nombredeservicesetdefournisseursinfonuagiquesrisquederapidementdeveniruncasse-tête
degestionpourlesorganisations(Overby,2016)etcelaestsanscompterlesmesuresquidoivent
êtremisesenplacepours’assurerqueletoutestsécuritaire.
2.3Défisspécifiquesdesécuritédel’informationdansuncontexteinfonuagiqueL’objectif de cette section est d’approfondir le thèmede la sécurité de l’information dans un
contexte infonuagique puisque ce mode d’approvisionnement donne naissance à des défis
spécifiquesqu’onneretrouvepasdansuneinfrastructuretraditionnelle.
LesorganismesISOetCEIdéfinissentlasécuritédel’informationdelafaçonsuivante:«[elle]
préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un
processusdegestiondesrisquesetdonneauxpartiesintéresséesl’assurancequelesrisquessont
gérés de manière adéquate » (ISO/CEI 27001, 2013, p.v). Ainsi, on note que la sécurité de
l’informationnesetraduitpasentermestechnologiques,maisprend la formed’unprocessus
(MitnicketSimon,2002);latechnologieestunoutilquipermetdemettreenplaceetdegérer
lesdifférentsprocessusliésàlasécurité.Cesprocessuscouvrentplusieursdimensions,allantde
laprotectionphysiquedeslocauxdel’entreprise,jusqu’àlagestiondesrisquesetlecontrôledes
accès (Silic et Back, 2014a). L’objectif de la sécurité de l’information est de « s’assurer de la
22
continuitédesaffairesetdeminimiserlesdommagesàl’organisationenlimitantlesimpactsdes
incidentsdesécurité»(traductionlibredevonSolmsetvanNiekerk,2013,p.98).
Aucœurduconceptdelasécuritédel’informationsetrouventtroisnotions:laconfidentialité,
l’intégritéetladisponibilitédel’information.11Laconfidentialitéestlacapacitéd’uneentreprise
delimiterl’accèsàl’informationseulementauxpersonnesautorisées,alorsquel’intégritéestle
faitd’êtreenmesuredepréserverlastructureetlecontenudel’informationdanssonentièreté
(Ardagna et al., 2015). Finalement, la disponibilité permet de s’assurer que l’information est
accessibleencontinulorsquerequiseparunepersonneautorisée(Ardagnaetal.,2015).
Lecontexted’impartitioninfonuagiquecréeplusieursdéfisdesécurité.Certainssontsimilairesà
ceuxqu’onretrouvedansuneinfrastructuretraditionnelle,alorsqued’autressontspécifiquesà
l’infonuagique.Letableausuivantdresseuninventairedesdéfisdesécuritérépertoriésdansla
littérature,classésselonlatriadedelaCIAensécuritédel’information.Onpeutyvoirqueles
défisdeconfidentialitétouchentsurtoutlagestiondesaccèsauxdonnéestantducôtéduclient
quedu fournisseur. Ledéfi d’assurer l’intégritédesdonnéesutiliséesdansunenvironnement
infonuagiquerésidequantàluidanslesmoyensàmettreenplacepourprévenirlamodification
nonautorisée.Finalement,lesdéfisentermesdedisponibilitécomprennentprincipalementles
mesuresàprendrepourassurerlasurveillanceduserviceetlagestiondesincidentsdesécurité.
11OnréfèresouventàcesconceptsparletermeCIA,l’acronymepourlesmotsanglaisConfidentiality,Integrity
etAvailability.Cetacronymeserautilisédanscetextelorsqu’ilestquestiondecesconcepts.
23
Tableau2.1:Lesdéfisdesécuritédel'informationdansuncontexteinfonuagique
Objectifsdesécurité Défisdesécurité Auteurs
Confidentialité
Limiterl’accèsauxdonnéesconfidentielles
del’organisationparlesemployésdu
fournisseurdeservicesinfonuagiques.
Asghar,Ion,RusselloetCrispo(2013);
NISTCloudComputingStandards
RoadmapWorkingGroup(2013);
Rongetal.(2013);Ryan(2013);Takabietal.(2010);ZissisetLekkas(2012)
Contrôlerl’identitéetlesaccèspour
s’assurerqueseuleslespersonnes
autoriséesducôtéduclientaccèdentaux
servicesinfonuagiquesetauxdonnées.
Aguiaretal.(2013);Alietal.(2015);Asgharetal.(2013);CloudSecurityAlliance(2011);Damianietal.(2007);DoreyetLeite(2011);Kapsalis,
Hadellis,KarelisetKoubias(2006);
NISTCloudComputingStandards
RoadmapWorkingGroup(2013);
Rongetal.(2013)
Limiterlesrisquesliésàlavirtualisationet
aupartagedesressourcesinfonuagiques
avecd’autresclients(surtoutpour
l’infonuagiquepubliqueethybride).
Aguiaretal.(2013);Alietal.(2015);Hashizumeetal.(2013);OuedraogoetMouratidis(2013);Rongetal.(2013);Ryan(2013);Takabietal.(2010);ZissisetLekkas(2012)
Établirunerelationdeconfianceavecle
fournisseur.
Kanwal,Masood,ShiblietMumtaz
(2015);NISTCloudComputing
StandardsRoadmapWorkingGroup
(2013);ZissisetLekkas(2012)
Intégrité
S’assurerquelesdonnéesnesoientpas
altéréesparlefournisseurdeservices.
NISTCloudComputingStandards
RoadmapWorkingGroup(2013);
Rongetal.(2013);ZissisetLekkas(2012)
Prévenirlapertededonnéesetla
modificationoulasuppressionnon
autorisées,soitlorsqu’ellessontstockées
chezlefournisseurouentransitentrele
clientetlefournisseurouviceversa.
Aguiaretal.(2013);Mouratidisetal.(2013);Ryan(2013);ZissisetLekkas
(2012)
Disponibilité
Gérerlesincidentsetlesattaquesdansun
contextedepartagedel’imputabilitéet
desresponsabilités.
AbRahmanetChoo(2015);Aceto,
Botta,DonatoetPescapè(2013);
KhansaetZobel(2014);NISTCloud
ComputingStandardsRoadmap
WorkingGroup(2013)
Surveilleretcontrôlerlaqualitéduservice
etdelaperformance/mettreenplacedes
indicateursdeperformance.
Acetoetal.(2013);Aguiaretal.(2013);Armbrustetal.(2009);Kanwaletal.(2015)
24
IlressortduTableau2.1quelesdéfisdelasécuritédel’informations’appliquentauxtroistypes
de services, les SaaS, les PaaS et les IaaS puisqu’ils reposent surtout sur la relation avec le
fournisseur.Lecontexted’impartitionauquelestassociéel’infonuagiqueposecertainsproblèmes
liésàlagestiondelarelationaveclefournisseur.Effectivement,l’organisationclientesouhaite
s’assurerquelesdonnéesquisontconfiéesaufournisseurseronttraitéesetstockéesdefaçon
aussi sécuritaireque si ellene les impartissaitpas. Puisque lesdonnées sont stockées chez le
fournisseur, le client doit s’assurer que seules les personnes autorisées auront accès à ses
donnéestantdesoncôtéqueducôtédufournisseur(Takabietal.,2010).Au-delàdelagestion
desaccès,l’organisationvoudraaussis’assurerqu’elleauraaccèsàsesdonnéesentouttempset
quelefournisseurn’altéreraoun’effacerapaslesdonnéesquiluisontconfiées.Touscesdéfis
sont propres à n’importe quel contexte d’impartition informatique, pas seulement pour
l’infonuagique.
Puisquel’entrepriseest légalementresponsabledelabonnegestiondesesdonnées, ilsemble
normal qu’une des plus grandes inquiétudes de celles qui décident de faire le saut vers
l’infonuagique soit la pertede contrôle sur leurs données (AlMorsy,GrundyetMüller, 2010;
Ardagna et al., 2015; Dorey et Leite, 2011). En effet, comme les données utilisées dans un
contexteinfonuagiquepeuventêtretraitéesouentreposéeschezlefournisseur,l’entreprisen’a
pas autant de contrôle qu’avec une infrastructure traditionnelle, ce contexte dans lequel elle
décideelle-mêmeoùsesdonnéessont logéesetquiyaaccès.Certainesentreprisesontdonc
peurdeperdrelecontrôlesurlaconfidentialitéetl’intégritédeleursdonnéesendéplaçantleurs
activitésverslemodeinfonuagique.
Leprésentchapitres’estouvertsurlesmécanismesquiontpermisl’essordel’infonuagiqueet
parmiceux-ci,ilyavaitlavirtualisationquipermetdepartagerdesressourcesinformatiquesen
créantdesmachinesvirtuelles.Lavirtualisationn’apasquedesavantagesetamènesonlotde
défis de sécurité parce qu’il doit y avoir une ségrégation entre les machines virtuelles afin
d’assurerlaconfidentialitédesdonnéesdechacundesclients(Aguiaretal.,2013;Alietal.,2015).
Si lesmachinesvirtuellesnesontpas isoléesdefaçonconvenable,undesclientspourrait,par
inadvertance, avoir accès aux données d’une autre organisation qui partage la même
infrastructureoubienpourraitplanifieruneattaque (Aguiar etal.,2013).Eneffet, lorsqu’une
machinevirtuelleestcompromise,lesautresalorsdeviennentvulnérablesauxattaques(Alietal.,
25
2015).Lamiseencommundesressourcesdufournisseurestdoncuneautresourced’inquiétude
pourlesclients.
Tous lesdéfismentionnésdans lesparagraphesprécédentssont liésà larelationdeconfiance
queleclientaavecsonfournisseur.Laconfiancesignifiequel’organisationalacertitudequele
fournisseurseraenmesuredefournirleserviceselonlestermesentendus,ycomprislesrequis
touchantlasécurité(ZissisetLekkas,2012).Lesfrontièresderesponsabilitéentrel’organisation
cliente et le fournisseur permettent de définir la division des responsabilités entre les deux
parties, un aspect essentiel de la sécurité infonuagique (NIST Cloud Computing Standards
RoadmapWorkingGroup,2013).Ilestimportantdementionnerqueleconceptdeconfiancen’est
passpécifiqueàl’infonuagique,maisàtouteslesrelationsavecdesfournisseursquimanipulent
desdonnéesconfidentielles.
La division des responsabilités dans une relation d’impartition infonuagique est d’ailleurs la
sourcedeplusieursdéfis.LaFigure2.3montrecommentlesresponsabilitéssontséparéesentre
le client et le fournisseur selon les types de services. Tel que mentionné précédemment,
l’infrastructureinformatiquepeutêtreillustréecommeétantconstituéedeplusieurscouchesqui
sont toutes liées entre elles.On y voit que les responsabilités varient d’un typede services à
l’autre:letypeSaaSdonnantlaplusgrandepartiedesresponsabilitésaufournisseur,alorsque
pour le IaaS, la majeure partie des responsabilités incombe plutôt à l’organisation. Les
responsabilités dans un environnement infonuagique doivent être très bien définies afin de
s’assurerquelefournisseuraitmisenplacedesmécanismesdesécurité,desprocessusdegestion
des vulnérabilités et de la surveillance suffisants pour les couches sur lesquelles il exerce son
contrôle.Deplus,encasd’incident,puisquelecontrôleentrelesmultiplescouchesestdivisé,le
client et le fournisseur doivent avoir des processus intégrés qui leur permettent de travailler
ensemblepourremédieràl’incident.Parexemple,leclientetlefournisseurs’entendrontsurles
personnesà contacteren casd’incident, le canalde communicationàprivilégier, lesétapesà
exécuter, les personnes responsables, etc. La gestion des vulnérabilités et des incidents de
sécuritédoitdoncsefaireenpartenariat,cequipeutreprésenteruncertaindéfidecollaboration
etdecommunication,surtoutconsidérantqu’unfournisseurd’infonuagiquepubliquepeutavoir
jusqu’à des milliers de clients qui se partagent ses ressources informatiques (Munteanu,
26
Edmonds,BohnertetFortis,2014).Onpeutimaginerlacomplexitédesprocessusdegestiondes
incidentsdansuntelcontexte.
Figure2.3:Partagedesresponsabilitésselonletypedeservicesinfonuagiques12,13(TraductionlibredeRiley,2016,p.3)
Enconclusion, lesdéfisdesécurité spécifiquesà l’infonuagiquesontengrandepartie liésà la
virtualisation,àladivisiondesresponsabilitésetaucontrôledesdonnées.Cesdéfisnesontpas
nécessairementpluscomplexesque lesdéfisqu’onretrouvedansuneinfrastructuretradition-
nelle;ilssontsimplementdifférents.Àcausedelarelativenouveautédel’infonuagique,cesdéfis
fontsouventpeurauxorganisations,maisilexistecependantdessolutionsquipeuventêtremises
enplacepouryfairefaceetmitigerlesrisquesassociésàl’infonuagique.
12 Le termemoteur d’exécutionutilisé dans la figure est la traductiondumot anglais runtime. Il s’agit de la
«versionminimaled'unlangagedeprogrammation,contenantlecodenécessaireàl'exécutiondesapplications
quiontétédéveloppéesaveccelangage»(Granddictionnaireterminologique,delalanguefrançaise,consulté
le25novembre2016,http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8385820)
13Letermeintergicielutilisédanslafigureestlatraductiondumotanglaismiddleware,communémentutilisé
pour désigner des logiciels intermédiaires entre les applications d’un système (Grand dictionnaire termi-
nologique, de la langue française, consulté le 29 juin 2016, http://www.granddictionnaire.com/ficheOqlf.
aspx?Id_Fiche=8354286).
27
2.4 Solutions proposées pour faire face aux défis ensécuritéinfonuagiquePlusieurs solutions ont été proposées tant par lemilieu académique que par l’industrie pour
tenterdesurmonterlesdéfisliésàl’infonuagique.Commementionnéprécédemment,lasécurité
estdéfiniepardesprocessusquisontappuyéspardesoutilstechnologiques.Pourreflétercette
définition,lessolutionsrecenséesdanslalittératureontétédiviséesendeuxgrandescatégories,
soitlessolutionsliéesauxprocessusdel’organisationetcellesquisontdenaturetechnologique.
Danslecasdessolutionsprocessuelles,onparled’activitésquivisentàbonifierlesprocessusde
sécuritéactuellementenplacedansl’organisation.Pourcequiestdessolutionstechnologiques,
ellescorrespondentàdesfonctionnalités,dessystèmes,desoutilsoudeslogicielsquipeuvent
aideràaméliorerlasécuritédesservicesinfonuagiques.
Letableauci-dessousprésentelessolutionsrecenséesdanslalittératurepourtenterdemitiger
les risquesdesécurité liésà l’utilisationdeservices infonuagiques.Onyvoitque lessolutions
processuellessontliéesauchoixdufournisseur,àlamiseenplacedenormesetdecertifications
ainsiqu’àlasurveillanceetauxauditspours’assurerquelefournisseurseconformeauxexigences
ducontrat.Parmilessolutionstechniques,ilyalechiffrementquirevienttrèsfréquemmentdans
lalittérature,lesmécanismesdegestiondesaccès,lesmécanismesdeprotectionimbriquésdans
lematériel informatique ou le navigateurweb, et l’utilisation de tiers de confiance. Tous ces
élémentssontexpliquésplusendétailàlasuiteduTableau2.2.
28
Tableau 2.2 : Les solutions proposées en sécurité de l’information dans un contexte info-nuagique
Typedesolution Nomdelasolution Auteurs
Processuelle
Choixdufournisseur
DoreyetLeite(2011);Ouedraogoet
Mouratidis(2013);Patiniotakis,
VerginadisetMentzas(2015);Tanget
Liu(2015)
Miseenplacedenormesetobtention
decertificationsAbRahmanetChoo(2015)
Auditsetmiseenplacede
mécanismesdecontrôleetde
surveillancepourassurerla
gouvernance
Acetoetal.(2013);OuedraogoetMouratidis(2013);Rebollo,Mellado,
Fernández-MedinaetMouratidis
(2015);Rongetal.(2013);TangetLiu(2015)
Technique
Mécanismesdecontrôledesaccèset
d’authentification
Asgharetal.(2013);DoreyetLeite(2011);Gordon(2016);Hashizumeetal.(2013);Kapsalisetal.(2006);Wang,Yi,
BertinoetSun(2016);ZissisetLekkas
(2012)
Chiffrementdesdonnées
Alietal.(2015);CloudSecurityAlliance(2011);Damianietal.(2007);DoreyetLeite(2011);Hashizumeetal.(2013);Rongetal.(2013);Ryan(2013);Wangetal.(2016);ZissisetLekkas(2012)
Mécanismesdesécuritéimbriqués
danslematériel(hardware-anchoredsecurity)
Ryan(2013)
Mécanismesdesécuritéimbriqués
danslelogicieldenavigationwebAguiaretal.(2013)
Utilisationdetiersdeconfiance
(Trustedcloudcomputingplatform/Trustedthirdparty)
Hashizumeetal.(2013);Rizvi,CoveretGates(2014);ZissisetLekkas(2012)
Parmilessolutionsliéesauxprocessusdel’organisation,onrecommanded’abordderéduireles
risques en amont lors de la sélectiondu fournisseur. Pour ce faire, les auteurs suggèrent des
cadresderéférence,desméthodesdesélectionoudeslistesd’élémentsessentielsàconsidérer
pourlechoixd’unfournisseur.Deplus,certainesentreprisesdécidentdeprocéderàunauditdu
fournisseurpotentielavantlasignatureducontratafindes’assurerdesesbonnespratiques.Les
auditspermettentaussides’assurerdelaconformitédufournisseurauxloisenvigueur(Cloud
SecurityAlliance,2011).Alternativement,pours’assurerquelefournisseurestlégitime,deplus
enplusd’organismesproposentdescertificationsdequalité.Cescertificationsneremplacentpas
29
lesprincipesdevérificationdiligentequedevraitmener leclientavantdefaireaffaireavecun
fournisseur,maisellespeuventêtreutilespoureffectueruntriparmil’abondancedansl’offrede
servicesinfonuagiques.
Au-delà des processus effectués avant la signature du contrat avec le fournisseur, plusieurs
auteursrecommandentdeconduiredesauditsaussipendantlaprestationdesservicesafinde
s’assurerqueceux-cicorrespondentauxrequisdanslesclausesdel’ententeaveclefournisseur
(servicelevelagreementouSLA).Commeonimpartitunserviceversunfournisseurexterne,ilest
importantdeconserverunecertainevisibilitésurlespratiquesdecedernieretsurlesdonnées
de l’organisation. Le client doit s’assurer que le fournisseur fait l’objet d’un audit externe,
indépendantetfréquentenplusd’exigerd’avoirlapreuvedeconformitéquienrésulteafinde
s’assurerquelesclausesdeperformancedudéfiniesdansleSLAsoientbienrespectées(Tanget
Liu,2015).
En ce qui a trait à la deuxième grande catégorie de solutions, celle touchant l’aspect
technologique,lagestiondesaccèsestprimordialepourassureruncontrôlesurlespersonnesqui
peuventvoiroutraiterlesdonnées.Leclientestresponsabledegérerlesaccèsdesesemployés
auxservicesinfonuagiquesetauxdonnéesassociées.Celavadesoipourtouslessystèmesetnon
pas spécifiquement dans le cas de l’infonuagique. La solution infonuagique choisie doit être
compatible avec les outils internes ainsi que lesmécanismes et les politiques de gestion des
identitéscommeleserviced’annuaire14del’organisation,lesprivilègesd’accèsetlesdifférents
groupesd’utilisateursauxquels sontassociéscesprivilèges.Avec lamultiplicationdes services
infonuagiques dans l’entreprise, cette intégration devient essentielle pour éviter lesmultiples
connexionsàchacundesservices(DoreyetLeite,2011)etainsiéviter,auniveaudelagestiondes
accès,d’avoiràgérerindividuellementlescomptesetlespermissionspourchacundesservices.
Sanscetteintégration,onpeutimaginerlecauchemarquereprésenteraitlagestiondescomptes
demilliersd’employéspourdescentainesd’applications.L’intégrationsimplifiel’utilisationdes
servicespourlesutilisateursetlesadministrateursetfaitensortequelesemployésn’ontpasà
sesouvenirdeplusieursidentifiantsetmotsdepasse.Deplus,l’intégrationdespolitiquesd’accès
14Leserviced’annuaireest«unservicecentraliséquiregroupelesnomsetlesadressesdesutilisateurs,ainsi
quelesadressesdesordinateursetdesressourcesaccessiblessurunréseau»(Granddictionnaireterminologique
de la langue française, consulté le 3 septembre 2016, http://www.granddictionnaire.com/ficheOqlf.
aspx?Id_Fiche=8362254).Undesservicesd’annuairelesplusconnusestl’ActiveDirectorydeMicrosoft.
30
de l’entreprise aux services infonuagiques facilite l’arrivée de nouveaux employés puisqu’ils
reçoiventautomatiquement lesaccèsauxapplicationsdont ilsontbesoinselon lepostequ’ils
occupent.Pour lesmêmes raisons, leprocessusde retraitdesaccèsestplus simple lorsqu’un
employéquittel’organisation.
Toujours d’un point de vue technique, le chiffrement des données est de loin la solution qui
revient leplus souventdans la littérature. Il s’agitd’uneprocédurepar laquelle ladonnéeest
convertie,grâceàl’utilisationd’uneclédechiffrement,dansunformatquinepeutêtrecompris
queparlespersonnespossédantcetteclé(Yi,PauletetBertino,2014).Àtitred’exemple,chaque
lettred’unfichiertexteseraitremplacéeparuncaractèredifférentselonunalgorithmeetuneclé
établieà l’avance.Lerécipiendairedufichierdevraconnaîtrecetalgorithmeetposséderlaclé
pourdéchiffrer lefichieretainsiconsulter lecontenuoriginal.Des logiciels informatiquesfont
automatiquementlechiffrementetledéchiffrementdesfichiers,cequipermetd’augmenterle
niveaudeconfidentialitédesdonnées,àconditionquelesclésdemeurentsecrètes.
Ensuite, les mécanismes de protection présentement utilisés pour sécuriser les échanges de
donnéesconfidentiellesvialessitesInternetetquisontdirectementimbriquésdanslenavigateur
peuventcontribueràprotégerprincipalement lesSaaSetmême lesPaaS,puisque l’accèsà la
plupartdecesservicessefaitgrâceàunnavigateur.Cesmécanismessetraduisentparl’utilisation
de certificats numériques qui permettent, d’une part, d’authentifier le fournisseur et, d’autre
part,devalidersonidentité(Winnard,vondemBussche,ChoietRossi,2016).Pourcefaire,on
doitavoir recoursàunetiercepartiedeconfiance (trustedthirdparty).Cette tiercepartieest
aussi appelée une autorité de certification et gère l’émission de certificats numériques.
L’utilisation de certificats numériques se fait selon le processus suivant : le fournisseur de
l’application infonuagique doit d’abord se procurer, auprès d’une autorité de certification
reconnue,uncertificatnumériquequiestchiffréaveclacléprivéedel’autoritédecertification15
(DubéetBernier,2011).Cecertificatcontientplusieursinformationsdontlenomdudétenteur
(doncdufournisseur)etsaclépublique.Sionsuit la logiqueduchiffrementasymétrique,cela
15 Il existe deux types de clés de chiffrement : privée et publique. La clé privée est secrète sauf pour son
propriétaire alors que la clé publique « est connue de tous les partenaires qui veulent échanger avec le
propriétairedelacléprivée»(DubéetBernier,2011,p.253).Unsystèmedechiffrementquiutiliselesdeuxtypes
de clés est appelé asymétrique. Pour le chiffrement asymétrique, « [si] unmessage est codé avec une clef
publique,seulceluiquidétientlacléprivéequiluiestliéepeutledécoder»(DubéetBernier,2011,p.253).
31
impliquequ’ilfautdétenirlaclépubliquedel’autoritédecertificationpourdéchiffrerlecertificat
numériqueetpourvoirsoncontenu.Lescléspubliquesdesprincipalesautoritésdecertification
sontdéjàconnuesdesnavigateurswebcequileurpermetdedéchiffrerlecertificatnumérique
reçuetainsis’assurerquelaclépubliquequiserautiliséeprovientbeletbiendufournisseurde
services(DubéetBernier,2011).Unéchangedecléprivées’ensuivracequipermettradelancer
unesessionpendant laquelle leséchangesentre l’utilisateuret le fournisseurserontsécurisés
(Bella,GiustolisietLenzini,2013).
Les solutions présentées dans le tableau précédent s’appliquent aux trois types de services
infonuagiques.Laseuleexceptionsontlesmécanismesdesécuritéimbriquésdanslenavigateur
quis’emploientprincipalementpourlesSaaSetlesPaaSpuisquelesapplicationsinfonuagiques
sontsouventaccédéesàl’aided’unnavigateurInternet.Touteslessolutionss’appliquentautant
aumodeprivéqu’aumodepublic.
Unautreélémentqu’ilestimportantderappelericisontlesraisonsprincipalespourlesquelles
lesentreprisessetournentversl’impartition:soitparcequ’ellesn’ontpaslescapacitésderendre
elles-mêmes leserviceoubienparcequ’ilestmoinscoûteuxetplusavantageuxde l’impartir.
L’infonuagiquepermetunegrandeflexibilitéetundéploiementrapide.Or,siuneorganisationne
peutfaireconfianceàsonfournisseurdeservicesinfonuagiquesetqu’ellemetenplaceungrand
nombredeprocessusoudemécanismesdesécuritépourprotégerlesservicesimpartis,celava
àl’encontredel’objectifdebasedel’infonuagique.L’organisationenquestionsetrouveàinvestir
unnombreimportantderessourcesdanslagestiondeceservicealors,qu’àlabase,ellesouhaitait
plutôtleconfieràunfournisseur.Ainsi,bienqueplusieurssolutionsdesécuritéexistent,ellesne
sontsouventpasalignéesaveclesobjectifsprincipauxdel’infonuagiquequisontlaréductiondes
coûts,laflexibilitéetlarapidité.Enoutre,ensuivantcettelogique,pluslenombredeservices
infonuagiques est élevé, plus cela risque de représenter un casse-tête pour la gestion de la
sécurité.C’estpourcetteraisonqu’unesolutioncommelesCASBreprésenteunsigrandpotentiel
pourlasécuritédesorganisations.Ilspermettraientdecentraliseretd’automatiserlagestiondes
processusdesécuritéliésàl’utilisationdesservicesinfonuagiques.
L’infonuagiqueposedonccertainsdéfisencequiatraitàlasécuritédel’information.Plusieurs
entreprisessontnerveusesàl’idéedecéderunepartieducontrôledeleursTIàunfournisseur.
32
Cependant,ilnefautpasoublierque,contrairementàlaplupartdesorganisationsclientes,les
fournisseurs infonuagiques devraient posséder une expertise particulière en sécurité de
l’informationpuisqu’ilssedoiventd’assurerunniveaudesécuritéquicorrespondauxexigences
deleursclientscarleurcapacitéàattirerdenouveauxclientsetàlesretenirpourassurerleur
profitabilité en dépend. Par contre, peu importe le type ou lemode d’implantation, le client
conservetoujourslaresponsabilitédesesdonnées(Riley,2016)etilestdesaresponsabilitéde
s’assurerquelefournisseurmetteenplacelesmécanismesnécessairespourlesprotéger(Aceto
etal.,2013).Lechoixd’unfournisseurest,enconséquence,trèsimportantetnedoitpasêtrefait
àlalégère.Malgrétout,ilnefautpasvoirl’infonuagiquecommeunesolutionplusrisquéequ’une
infrastructuretraditionnelle,maisplutôtaccepterquelesrisquessoientdifférentsetchoisirdes
solutionsprocessuellesettechnologiquesenconséquence.Chaqueentrepriseestdifférenteet
sesbesoinsensécurité le sontaussi. Ilestessentielqu’avantdeprendre toutedécision liéeà
l’impartitiondesesTI,quecesoitpourl’infonuagiqueoupourunesolutionplustraditionnelle
(commel’hébergement),l’organisationfasseuninventairedesesbesoinsafindefaireunchoix
quiassureunniveauderisqueaveclequelelleestconfortable(Mouratidisetal.,2013).
2.5AperçudesnormesactuellesdesécuritéinfonuagiqueEnplusdessolutionsproposées,ilexistedespratiquesd’excellenceensécuritédel’information
qui aident les entreprises à adopter des comportements sécuritaires dans un contexte
d’impartitioninfonuagique.Cespratiquessontsouventprésentéessousformedenormesoude
lignes directrices et elles sont complémentaires aux solutions présentées dans la section
précédente. L’examende cespratiques aide à comprendre lesobjectifs globauxque lesCASB
visentàatteindre.Lesparagraphessuivantsprésententquelques-unesdecesnormesparmiles
pluspopulairesquipeuventaiderlesentreprisesàmettreenplaceuncadredegouvernanceen
sécuritédel’information.
Le développement et la publication de normes se sont faits progressivement. Suite à
l’augmentationdutauxd’adoptiondel’infonuagiquedanslesorganisationspendantladeuxième
moitiédesannées2000,lesentreprisesetlesprofessionnelsdumilieudesTIontprisconscience
delanécessitédedévelopperdescadresderéférenceetdesoutilspourguiderlesentreprisesse
tournantverscemoded’approvisionnement.Eneffet,mêmes’ilexistaitàl’époquedesloisetdes
33
normes relatives à l’impartition de services TI, aucune n’adressait les spécificités de
l’infonuagique,16laissantlesfournisseursetlesclientss’autoréguler(BorensteinetBlake,2011).
Devantlalenteurdesgouvernementsàlégiférerenmatièred’infonuagique,certainsorganismes
àbutnonlucratifonttentéd’ajusterletirenpubliantdesnormesoudeslignesdirectricesqui
visentdirectementouenglobentlesservicesinfonuagiques.L’objectifderrièrelamiseenplace
de normes et de lignes directrices est de faciliter l’adoption de l’infonuagique en la rendant
sécuritaire et en simplifiant l’interopérabilité entre les différents fournisseurs (Cloud Security
Alliance,2011;Rojas,2014).Lerésultatest,qu’àcejour,ilexisteunequinzained’organismesqui
ont publié des lignes directrices relatives à l’infonuagique (European Telecommunication
StandardsInstitute,2013).Leseffortsencesenssontdonctrèsfragmentéscequis’expliquepar
l’absence d’un organisme international largement reconnu qui réglementerait et encadrerait
l’utilisation de l’infonuagique (Emison, 2013). Dans ce contexte où il règne beaucoup de
confusion,tantlesclientsquelesfournisseursdeservicesinfonuagiquesseretrouventlaissésà
eux-mêmespouridentifierlespratiquesàadopteretpourdévelopperdescadresdegouvernance
desécuritéliésl’utilisationdel’infonuagique.
Dans le but de demeurer succinct, seules les recommandations de trois organismes sont
présentéesdanscemémoire:1)leslignesdirectricesdelaCloudSecurityAlliance(CSA),2)les
normes de l’Organisation internationale de la normalisation (ISO) développées conjointement
aveclaCommissionélectrotechniqueinternationale(CEI)et3)lesrecommandationsduNational
InstituteofStandardsandTechnology(NIST).Ellesonttoutestroisétéchoisiesprincipalement
parce que ce sont les normes et les lignes directrices les plus fréquemment adoptées par les
entreprisespourencadrerleurutilisationdel’infonuagique(TangetLiu,2015).Ilfautnoterque
cesnormesontétédéveloppéesenparallèleetqu’ellesmontrentsouventdessimilitudes.
Lesrecommandationsémisessontgénéralementissuesdubonsensenmatièredegestiondela
relationaveclesfournisseursoudelasécuritédesTI.Ellesseveulentunlangagecommunentre
16 Il faut toutefois noter que maintenant il existe notamment la Loi sur la protection des renseignements
personnelsdanslesecteurprivéauQuébecet,l’équivalentcanadien,laLoisurlaprotectiondesrenseignementspersonnelsetlesdocumentsélectroniquespourlesautresprovinces.Cesloisn’abordentpasspécifiquementle
casdel’infonuagique,maislesdonnéeséchangéesdansunenvironnementinfonuagiqueysonttoutdemême
assujetties.
34
les fournisseurs et les clients afin que l’adoption de services infonuagiques se fasse de façon
sécuritaire.Lamiseenplacedenormesdansuneindustriepermetd’assurerlacompatibilitéentre
lesservicesetdecréerdesbasesuniformespourévaluerleursécuritéetleurqualité(Rojas,2014).
Cedernierpointaugmentelaconfianceenverslemoded’impartitionqu’estl’infonuagiqueeta
lepotentieldefacilitersonadoption.
Plusieurs organisations utilisent ou s’inspirent de ces normes pour établir leurs exigences de
gouvernanceentermesdesécuritéinfonuagique.Cesnormessontsouventperçuesdanslemilieu
commeuncertaingagedequalitéetc’estcequipoussesouventlesorganisationsàs’yconformer
(Cavusoglu, Cavusoglu, Son et Benbasat, 2015; Siponen et Willison, 2009). À cause du type
d’informationsouventconfidentiellequ’ellestraitent,lesorganisationsdudomainedelafinance
etdel’assurancesontnombreusesàmettreenœuvredesnormespourencadrerleurutilisation
del’infonuagiquedansunelogiqueessentielledegestiondesrisques.Ilestnécessairedefaire
l’examendecesnormesetdeceslignesdirectricesafindepouvoircomprendrelespratiquesde
sécuritédel’informationmisesenplacedanslesorganisationsdansuncontexteinfonuagiqueet
commentletoutpourraitsetraduireentermesdefonctionnalitéspourlesCASB.
Lesprochainsparagraphesdécriventbrièvementchacundesorganismesetlecontenudeleurs
normesoulignesdirectrices.Enpremierlieu,cellesdelaCloudSecurityAlliancesontprésentées
puisqu’elles furent chronologiquement le premier effort visant à établir des pratiques
exemplaires pour ce mode d’impartition. Ce sont des lignes directrices spécifiques à
l’infonuagique,maisfaitesàuntrèshautniveau.Dansundeuxièmetemps,lesnormesISO/CEI
sont présentées. Les normes en sécurité de l’information de cet organisme datent déjà de
plusieurs années, mais ce n’est que récemment qu’il les a mises à jour par le biais de deux
documentsspécifiquesàlasécuritédansuncontexted’utilisationdel’infonuagique.Lesdernières
recommandations, celles du National Institute of Standards and Technology, proviennent de
plusieurspublicationsdiscutantdediverssujetsliésàl’infonuagiquecommelavirtualisationou
l’implantationdeservicesinfonuagiques.
35
2.5.1LignesdirectricesdelaCloudSecurityAlliance(CSA)Devant lapopularitégrandissantedesservices infonuagiquesdans lesannées2000, l’industrie
desTIaressentilebesoindemettreenplacedesmoyensd’uniformiserlespratiques.Decebesoin
estnéelaCloudSecurityAlliance(CSA),unorganismeinternationalsansbutlucratif, forméde
fournisseurs,declientsetmêmed’individusquiontun intérêtenvers lasécurité infonuagique
(Messmer,2009).Cetorganismeviseàproposeretàpromouvoirdespratiquesd’excellenceen
sécuritéinfonuagique(CloudSecurityAlliance,2016a).LaréputationdelaCSAagrandiaufildes
années,notammentgrâceàl’adhésiondemembresnotoiresquiparticipentauxtravauxcomme
Microsoft,VMwareouCisco(CloudSecurityAlliance,2016b).
En2009,laCSAapubliéledocumentintituléSecurityGuidanceforCriticalAreasofFocusinCloud
Computing,formulantdesrecommandationsensécuritéinfonuagique.Ceslignesdirectrices,qui
ensontprésentementàleurtroisièmeversion,sontdisponiblesgratuitementsurlesiteInternet
de la CSA.17 Celles-ci sont divisées en quatorze sections portant sur différents aspects de la
sécuritéinfonuagiqueetchacunedessectionsestdéveloppéeetréviséeparungrouped’experts
enlamatière(CloudSecurityAlliance,2011).
Lapremière sectiondeces lignesdirectricesexplique toute l’architecture technologique sous-
jacenteàl’infonuagiqueendéfinissantlestypesdeservicesetlesmodesd’implantation.Lestrois
sections suivantes discutent des implications de gouvernance, de conformité et juridiques
associéesàl’utilisationdesservicesinfonuagiques.Lacinquièmesectionabordelesrisquespour
la sécurité des données. La section suivante évoque tous les problèmes de compatibilité qui
peuventsurvenirentre lesservices infonuagiques,maisaussiavec lesautressystèmesdéjàen
place dans l’organisation. Dans cette section, la CSA fait valoir l’importance d’utiliser des
technologies standards pour stocker et traiter les données. Les quatre sections qui suivent
discutentrespectivementdelacontinuitédesaffaires,del’exploitationdescentresdedonnées,
de la gestion des incidents et du développement sécuritaire. La onzième section porte sur le
chiffrementetlagestiondesclésdechiffrement,unélémenttrèsimportantlorsqu’ilestquestion
d’assurerlaconfidentialitédesdonnées.Lasectionsuivantediscutedelagestiondesidentitéset
desaccèsauxservicesinfonuagiquesalorsquelatreizièmesectionoffredesrecommandations
17https://cloudsecurityalliance.org/(pageconsultéele26octobre2016).
36
pour mitiger les risques associés à la virtualisation. Finalement, la dernière section s’intitule
SecurityasaServiceetoffredesrecommandationspourl’impartitiondesprocessusdesécurité
infonuagiqueàunetiercepartie.L’AnnexeBprésentechacunedesquatorzesectionscontenues
dans les lignes directrices de la CSA avec des exemples de quelques recommandations pour
chacune.
LeslignesdirectricesdelaCSAseveulentd’abordéducativesbeaucoupplusquenormatives.Elles
sontformuléesàunhautniveau:ellesnesuggèrentpasdemoyenstechniquespourassurerla
protectiondel’environnementinfonuagique.Ellesneproposentpas,parexemple,unalgorithme
dechiffrementspécifique,maissecontententderecommanderdesuivrelesmeilleurespratiques
dumarché.Donc,ils’agitplutôtd’unguideàl’intentiondesgestionnairesquisontenchargedes
décisionsquantàl’impartitiondeservices.Ellesmentionnentlespointsimportantsàprendreen
considérationd’unpointdevuelégal,desprocessusetdelaprotectiondesdonnées.Lepeude
profondeurdeslignesdirectricesdelaCSAenfaitunbonpointdedépartpouruneorganisation
qui souhaite en apprendre davantage sur la sécurité de l’information dans un contexte
infonuagique,maisellesn’expliquentpascommentopérationnaliserlespratiquesdesécurité.
Enplusdudocumentprésentantleslignesdirectrices,laCSAapubliéunematricequipermetaux
entreprisesquisouhaitentsetournerversl’infonuagiquededéterminerleniveauderisqued’un
fournisseur(CloudSecurityAlliance,2014).Cettematricesebasesurleslignesdirectricesdela
CSA,maisellefaitaussilelienavecd’autresnormesdel’industriecommecellesd’ISO/CEIouavec
desarticlesdeloisspécifiquescommelaLoisurlaprotectiondesrenseignementspersonnelset
les documents électroniques du gouvernement canadien. Le document de la CSA, disponible
gratuitementsursonsiteInternet,18proposeplusd’unecentainedecontrôlesetindiqueàquel
type de services infonuagiques ils s’appliquent. De plus, il spécifie si la responsabilité de se
conformerau contrôle incombeau clientouau fournisseur.Cettematricepeutdonc s’avérer
d’uneaideprécieusepouruneentreprisequitented’élaborersespropresexigencesdesécurité
infonuagique.Néanmoins,bienquel’objectifdecettematricesoitd’aideràmettreenplaceles
lignes directrices de la CSA qui elles s’avèrent plutôt théoriques, elle contient plus de 150
questionsàposeràunfournisseurdeservicesinfonuagiquesavantdesigneruneententeavec
18Lelecteurintéresséparledétaildecettematricepeutlaretrouveràl’adressesuivante:
https://cloudsecurityalliance.org/group/cloud-controls-matrix/(pageconsultéele28août2016).
37
celui-ci.Ils’agitdoncd’undocumenttrèslourdetdifficileàmettreenœuvrepuisquetoutesles
questionsnes’appliquentpasàtouslescontextesorganisationnelspossibles.Certainscontrôles
sontdenaturetrèstechniqueetonpeutimaginerladifficultédedevoirpasserautraversd’untel
documentavecchacundesfournisseursdeservicesaveclesquelsuneorganisationsouhaiterait
faireaffaire.
2.5.2NormesISO/CEI27017et27018L’Organisation internationale de la normalisation (ISO) et la Commission électrotechnique
internationale (CEI)sontdeuxorganismes indépendants,maisqui,pardescomités techniques
conjoints,élaborentdesnormesinternationalesencadrantdifférentsdomaines(ISO/CEI27001,
2013).Lescomitéstechniquessontcomposésd’expertsproposésparles163paysmembresd’ISO
(ISO,2016a,c).
Ledéveloppementdesnormesdoitsuivreunprocessustransparentetcesnormesdoiventfaire
consensus auprès des membres (ISO/CEI, 2016). Pour cette raison, ces normes sont très
respectéesdansunevariétédedomaines,dontlesTI(ISO,2016b).CommeISOestunorganisme
àbutnon-lucratif,ilfinancesestravauxaveclescotisationsdesesmembresetaveclaventede
sesnormes(ISO,2016d).19
Puisquelesnormestouchentàdifférentsdomaines,ellessontregroupéesenplusieursfamilles
auxquellesonaattribuéunnuméro.Ainsi,touteslesnormesliéesàlasécuritédel’information
danslesentreprisescomportentlenuméro27000.Lanorme27001mentionnelesexigencesliées
àlasécuritédel’informationdanslesentreprisesalorsquelanorme27002présentelesbonnes
pratiquespourmettreenplacecesexigences(ISO/CEI27001,2013; ISO/CEI27002,2013).Ces
deuxnormesontétépubliéesen2005,puisréviséesen2013.Ellesnesontpasspécifiquesàune
technologieenparticulier,maiss’appliquentplutôtàl’ensembledesTI.
Par lasuite,comme l’infonuagique impliquecertainesdifférencespar rapportà l’informatique
traditionnelleetdans lebutde refléter cesdifférences, ISO/CEIaémisen2015,unenouvelle
norme 27017 qui est spécifique à l’infonuagique et basée sur les recommandations déjà
19UnecopiedesnormesestdisponibleàlabibliothèqueMyriametJ.-RobertOuimetdeHECMontréal.
38
contenuesdanslanorme27002(ISO/CEI27017,2015).Enplusdecettedernière,ilexisteaussi
une norme 27018 qui se penche sur la protection des données personnelles dans un
environnementd’infonuagiquepublique(ISO/CEI27018,2014).
Lesdeuxnouvellesnormes(27017et27018)constituentenquelquesorteuneinterprétationdes
travauxprécédents,appliquéespécifiquementaucontexteinfonuagique.Ellessontenquelque
sortedesaddendasàlanorme27002,c’est-à-direquetouslescontrôlesde27002s’appliquent
aussià l’infonuagique,enplusdes recommandations spécifiquescontenuesdanschacunedes
normes 27017 et 27018. Le tableau de l’Annexe C relève les recommandations spécifiques à
l’infonuagiquequi sont tiréesdecesdeuxdernièresnormes. Lesnormes ISO/CEIadoptentun
pointdevueobjectifpuisqu’ellestiennentcompteautantdesresponsabilitésetdesobligations
duclientquecellesdufournisseur.Parcontre,commecemémoireseconcentresurlaperspective
del’organisationquiadoptelesservicesinfonuagiques,l’AnnexeCnecontientquelaperspective
duclient.
Les normes ISO/CEI en termes de sécurité infonuagique sont divisées en quatorze sections
couvrantplusieurs fonctionsde l’entreprise, allantdes ressourceshumainesà l’exploitation. Il
fautgarderentêtequ’ellessuiventlamêmestructurequelanorme27002quisevoulaitunguide
completsurlasécuritédel’informationorganisationnelle.Plusieursdessectionssontsemblables
àcellesdelaCSA,parexemple:lagouvernanceensécurité,laconformité,lagestiondesaccès,
lagestiondes incidentsetde lacontinuitédesaffaires, lasécuritéphysiqueet lechiffrement.
D’ailleurs, les recommandations dans ces sections se ressemblent beaucoup pour les deux
organismes.LesnormesISO/CEIsontcependantunpeuplusprécisesqueleslignesdirectricesde
laCSA,donnantplusd’exemplesdepratiquesàmettreenplace.Toutefois,lesnormesISO/CEI
demeurent elles aussi à un haut niveau et n’expliquent pas commentmettre en pratique les
recommandationsqu’ellescontiennent,laissantletoutàladiscrétiondulecteur.
L’Annexe C présente cette norme et est divisée selon les quatorze sections proposées par
l’organisme.Pourchacunedessections,lesrecommandationsprovenantdelanorme27017sur
lescontrôlesàmettreenplacelorsdel’utilisationdel’infonuagiquesontprésentées.Àlasuite
desrecommandationsdelanorme27017,cellesprovenantdelanorme27018surlaprotection
desdonnéespersonnellesutiliséesparlesservicesinfonuagiquessontrépertoriées.Ilestfréquent
39
qu’aucun nouveau contrôle ne s’applique pour la norme 27018 soit parce qu’ils ne sont pas
pertinentsàlasectionoubienparcequ’ilssontdéjàcouvertsdanslesautrestravauxd’ISO/CEI.
2.5.3RecommandationsduNISTEndernierlieu,leNISTestunorganismedugouvernementaméricainquiproposedesnormeset
desmétriquesstandardspourencadrerl’utilisationdelatechnologie(NIST,2016).Leurstravaux
incluentlarédactiondeplusieursrapportsnommés«publicationsspéciales»quisontrédigées
pardescomitésformésdechercheursdesdifférentesagencesdugouvernementaméricain,des
universitésainsiquedel’industrieetquiseréunissentpoursepenchersurdessujetsspécifiques.
Ensuite,cespublicationstraversentunepériodedeconsultationpubliquependant laquelle les
suggestionsdupublicsontreçues(NISTJointTaskForce,2013).Àlabase,lespublicationsduNIST
ontcommeprincipalauditoirelesagencesdugouvernementaméricain,maiscommeellessont
libres d’accès,20 plusieurs entreprises se basent sur celles-ci pour établir leurs politiques de
gouvernance (PricewaterhouseCoopers, 2014; Proctor, Thielemann, Perkins et Pratap, 2016).
Ellesn’ontcependantaucunevaleurlégalepuisqueleNISTn’estpasunorganismeréglementaire
et,enconséquence,misàpartlesagencesdugouvernementaméricain,aucunecompagnien’est
tenuedes’yconformer.
Étantdonné la clientèlepremièrepour laquelle elles sontdéveloppéeset, bienque les lignes
directrices publiées par le NIST soient très détaillées et élaborées de façon rigoureuse, elles
s’appliquentsurtoutdansuncontextegouvernemental.Ilpeutdoncêtreardudelesmettreen
placepouruneentreprisecanadiennequin’estpassoumiseauxmêmesloisetréglementations
ouquin’apaslesmêmesobjectifsdesécuritéquelesagencesfédéralesaméricaines(Bradbury,
2014).
Les publications spéciales, un peu comme les normes ISO/CEI, sont regroupées en plusieurs
famillesauxquellesonaattribuéunnuméro.Ainsi,lespublicationsdelafamilleSP500touchent
lessystèmesd’informationalorsquelespublicationsSP800onttraitàlasécuritédel’information.
IlfautmentionnerqueleNISTnetravaillepasenvaseclosettientcomptedesnormesISO/CEI
20LespublicationsspécialesduNISTsontdisponiblesàl’adressesuivante:
http://csrc.nist.gov/publications/PubsSPs.html(pageconsultéele26octobre2016).
40
danslarédactiondesespublicationsspéciales.Certainsélémentscontenusdanslespublications
touchant la sécuritéde l’informationpeuventêtre liésauxdifférentes recommandationsde la
normeISO/CEI27001surlasécuritédessystèmesd’informationcequipermetd’harmoniserles
deuxdocuments.ContrairementàISO/CEI, lespublicationsduNIST«fournissentunniveaude
détailadditionnelspécifiquementpourlegouvernementfédéral[américain]etsesfournisseurs»
(traductionlibredeNISTJointTaskForce,2013,p.H-1).L’annexeHdelapublicationspécialeSP
800-53:SecurityandPrivacycontrolsforFederalInformationSystemsandOrganizationétablit
d’ailleurslacorrespondanceentrelescontrôlesduNISTetceuxd’ISO/CEI27001(NISTJointTask
Force,2013).
CommeleNISTs’est intéressétrèstôtà l’infonuagique,plusieurspublicationsspécialesdeces
deuxfamilles(SP500etSP800)traitentdusujet.L’AnnexeDdressel’inventairedespublications
spéciales qui offrent des recommandations portant sur la sécurité de l’information dans un
contexted’utilisationdel’infonuagique.CommelesnormesISO,lespublicationsspécialesduNIST
adoptentlaperspectivetantduclientquedufournisseur.Encoreunefois,pourlesbesoinsde
cette étude, seules les recommandations faites aux clients des services infonuagiques y sont
présentées.Deplus, lesrecommandationsspécifiquesaugouvernementaméricainn’yontpas
étéinclusespuisqu’ellesn’ontpasd’applicationdanslecontexted’uneorganisationquiévolue
dansl’industriedelafinanceetdel’assuranceauCanada.
L’AnnexeDrépertoriesixpublicationsspécialesquiremplissentlescritèresénoncésci-haut.Elles
sont présentées par ordre numérique croissant plutôt que par ordre chronologique de
publication.Lesdeuxpremièrespublications,SP500-291etSP500-293,sontenfaitdesguides
pouraiderlesorganismesdugouvernementaméricaindanssonadoptionsécuritairedesservices
infonuagiques et offrent des recommandations de sécurité de base. La troisième publication,
SP 500-316, s’adresse plus aux fournisseurs en faisant des recommandations sur la façon
d’améliorer l’expérience utilisateur des services infonuagiques. Néanmoins, elle contient
certainesrecommandationspourlesclientsetc’estpourcetteraisonqu’elleaétéinclusedans
l’annexe. Par la suite, la publication SP 800-125 offre des recommandations pourmitiger les
risquesdesécuritéassociéeàlavirtualisation,unprincipeàlabasedel’infonuagique.Letoutest
suivi de la publication spéciale 800-144 qui fut la première du NIST à proposer des lignes
directricesspécifiquesàl’infonuagiqueen2011.Endernierlieu,lapublicationSP800-146estun
41
documentrécapitulatifsurladéfinitionetlescaractéristiquesdel’infonuagiqueainsiquesurles
opportunitésetlesrisquesquiysontassociés.
Contrairement aux deux autres normes et lignes directrices présentées précédemment, les
recommandations du NIST ne sont pas divisées par section, mais par sujet à l’intérieur des
différentesfamillesdepublicationsspéciales.Conséquemment,certainesrecommandationsse
retrouvent dans plusieurs publications du NIST, mais cela permet aussi une plus grande
profondeurpourchacundesthèmesabordés.PuisqueleNISTestunorganismedontlamission
estd’encadrerl’utilisationdelatechnologie,leursrecommandationsoffrentaussiplusdedétails
techniquesquecellesdelaCSAetd’ISO/CEI,notammentencequiatraitàlasécuritéentourant
lavirtualisationetàl’utilisationduchiffrement.
2.5.4 Analyse des points à retenir des normes et des lignesdirectricesprésentéesSuite à la présentation des recommandations faites par les trois organismes, quelques
observationspeuventêtrementionnées.D’abord,onremarquebeaucoupdesimilitudesentreles
thèmes abordés par les trois organismes. Chacun couvre les grandes lignes de la sécurité de
l’informationdansuncontexteinfonuagique,maisavecquelquesnuances.Lepointquiressort
destroislignesdirectricesestlamitigationdesrisquesassociésàl’infonuagiqueplutôtquelamise
enplacedesolutionstechniquesspécifiquesàlasécuritéinfonuagique(misàpartlechiffrement).
Oninsistesurladivisiondesresponsabilitésentreleclientetlefournisseuretlanécessitépourle
clientdevérifierquelefournisseuramisenplacelesprocessusetlesmécanismesdesécurité
jugéssuffisants.Cesprocessusincluentlagestiondesincidents,desaccès,desvulnérabilitéset
delacontinuitédesaffaires.Ilyestaussiquestiondelagouvernanceetdespolitiquesdesécurité
del’entreprisequidoiventêtreadaptéesaucontexted’utilisationinfonuagique.Oninclutaussi
desrecommandationsparrapportauchiffrementquisembleêtrelemoyenàprivilégierlorsde
l’utilisationdel’infonuagiquepourassurerlaconfidentialitédesdonnées.
Bienquelesthèmescouvertsparlestroisorganismessoientsimilaires,l’approchedechacunpour
les aborder diffère. Les normes d’ISO/CEI sont très assertives et offrent peu de place à
l’interprétation,contrairementàlaCSAquiestbeaucoupplusvaguedanssesrecommandations.
42
Les lignesdirectricesdecettedernière se lisentplutôt commedes suggestionsdepratiquesà
mettre en place, à la discrétion de l’entreprise qui les adopte. Pour ce qui est des
recommandationsduNIST,ellessedistinguentparleuraspectplustechnique.Contrairementà
ISO/CEIetlaCSAquiciblentprincipalementlesgestionnairesquiprennentdesdécisionsàunhaut
niveau,leNISTproposedesrecommandationsunpeuplusancréesdanslequotidienquiincluent
desélémentsplustechniques.
Malgréqu’ellespuissentêtreutiliséespourguider lesentreprisesdansl’adoptiondepratiques
sécuritaires,lesnormesexistantessontloindereprésenterunesolutionàtouslesrisquesliésà
l’utilisationdel’infonuagiquepuisqu’ellesontquelqueslimites.Telquementionnéauparavant,
un des problèmes associés à l’infonuagique est qu’il n’existe aucune norme universellement
acceptéeoud’organismerégulateur.ISO/CEIestprobablementl’organismequiserapprochele
plusdecetobjectif,maisconsidérantquesamiseàjourpourl’infonuagiqueesttrèsrécente,il
risque de s’écouler encore quelques années avant que leurs normes soient globalement
acceptées et mises en œuvre dans les organisations. On se retrouve donc avec plusieurs
recommandationsd’organismesdifférentsquionttentédemettreàjourleursnormesexistantes
afindelesadapteràl’infonuagique.Cettesituationfaitensortequ’iln’yapasdeconsensussur
les pratiques qu’il est préférable d’adopter. Comme aucun des organismes présentés n’a de
pouvoir légal, l’adhésion à leurs normes ou lignes directrices se fait de façon volontaire. En
conséquence, les entreprises qui tentent de mettre en place des politiques de gouvernance
encadrantl’utilisationdel’infonuagiquepeuventdoncchoisirdesélémentsdechacunedeslignes
directricesexistantesafindecréerdespolitiquesquiconviennentàleursituation.Delamême
façon, un fournisseur peut aussi opter pour l’adoption des normes qu’il préfère ou bien n’en
adopteraucune.Ducôtédufournisseurdeservices,samotivationàadoptercespratiquesest
souvent en fonction des exigences des clients ou bien elle est issue de son obligation de se
conformer à certaines lois. L’adoption de normes requiert un engagement de la part du
fournisseuràoctroyerlesressourcesnécessaires,àadaptersesprocessuspourassurerlerespect
desnormesetàsesoumettreàdesaudits,cequiaunimpactsursesactivitésetsescoûts.
Ensuite,malgréquelesnormesprésentéesdanscettesectionoffrentdesrecommandationsaux
entreprisesentermesdesécurité,leurplusgrandelimiteestqu’ellesn’offrentquepeudedétails
sur la façon dont elles doivent être mises en œuvre. En effet, ces normes sont plutôt des
43
recommandationsdehautniveau,desprincipesoudesconseilsalorsquelafaçondelesmettre
enplaceestlaisséeàladiscrétionetàl’interprétationdesorganisations.Onnotenéanmoinsun
effortdelaCSAencesensavecl’élaborationdesamatrice,celle-ciayantpourbutdefaciliterla
miseenplacedesesrecommandations.Leproblèmeestque,telquementionnéprécédemment,
cedocumentestlourdetcomportebeaucoupdequestions,cequirendsonopérationnalisation
difficile. Les entreprises sont donc laissées à elles-mêmes pour créer des politiques et des
processusleurpermettantdeseconformeràcesnormes.Desurcroît,laplupartdesnormeset
des lignesdirectrices sont assez récentes et les ressourcesqui permettent d’accompagner les
entreprisesdansleurapplicationsontencoreassezlimitées.Onpeutpenserque,danslefutur,
l’industrie de la consultation et de la certification se développera davantage afin d’aider les
entreprisesàseconformeràcesnormes.
Desurcroît,lamiseenœuvredetelscadresdesécuritédel’informationengendrenécessairement
certainscoûtspourl’entreprisequidoitadaptersesprocessuspours’yconformer.L’organisation
doitêtreenmesuredejustifierlescoûtsainsigénérés.Commelasécuritédel’informationest
souvent perçue commeunedépenseplutôt qu’un investissement et que les bénéfices qui en
découlentsontsurtoutintangibles,ilpeutêtredifficiledejustifierlesinvestissementsensécurité
(Johnson, 2009). La mise en place des contrôles de sécurité peut aussi créer des délais, des
barrières à l’adoption et une certaine frustrationpour les employés si les contrôles sont trop
nombreuxous’ilsaffectentlaperformanceduprocessusd’approvisionnementinformatique.Ces
façonsdefairevontdoncàl’encontredesprincipesderapiditéetdeflexibilitédel’infonuagique
etc’estpourquoil’applicationdenormespeutdevenirunexerciceassezlaborieux.
Uneautreentraveàl’adoptiondesnormesspécifiquesàl’infonuagiqueestlecontexted’affaires
del’entreprisequichercheàlesadopter.L’industriecanadiennedelafinanceetdel’assurance
estdéjàhautementréglementéeetlesentreprisesdecedomainedoiventdéjàseconformerà
plusieursloisetlignesdirectrices(ex:laLoicanadiennesurlesbanques,lesaccordsdeBâle,la
normePayment Card IndustryData Security (PCIDSS), etc.). Les normesdes trois organismes
présentés icin’ontpasétédéveloppéesspécifiquementavec lecontextedecette industrieen
tête.L’adhésionàunensembledenormes,commecellesprésentéesdanscettesection,peut
s’avérer complexe puisque le tout devra se faire dans le respect des lois actuelles qui ont
préséance.
44
Bienquelesnormesetlignesdirectricesreprésententunpasdanslabonnedirectionencequi
concerne la sécurité des services infonuagiques, elles ne sont pas suffisantes pour les
organisations qui ont grandement besoin de mécanismes et de processus de sécurité qui
s’intègrentàceuxqu’elleadéjàenplace.Leurmiseenœuvreestsouventlongueetdifficileparce
qu’ellesexigentdeschangementsdeprocessusquirisquentderencontrerdelarésistancedela
partdesemployésetdesgestionnaires.
Suiteàlalecturedessectionsprécédentes,onserendcomptequelesdéfisliésàl’utilisationde
l’infonuagique sont nombreux.D’abord, le nombrede services et de technologies disponibles
associés à l’infonuagique est mirobolant, rendant la sélection de fournisseurs et de services
complexes.Lanaturemêmedecemoded’approvisionnementcréecertainesinquiétudesquant
à la confidentialité, à l’intégrité et à la disponibilité des données ainsi qu’à la sécurité de
l’infrastructuredansuncontexteoùlesressourcessontpartagées.L’objectifdel’infonuagiqueest
d’impartirunservicequel’organisationclientenesouhaitepasgérerelle-même.Toutefois,avec
lamultiplicationdescontrôles,desaccèsetdescomptesengendréeparlacroissancedunombre
deservicesutilisés,lagestionassociéeàl’infonuagiquepeutdevenirlourde.Àtouscescontrôles
s’ajoutelaconformitéauxloisauxquellesl’entreprisedoitsesoumettre,l’obligeantàmettreen
placedescontrôlesmanuelspourchacundesservicesqu’elleimpartit.LesCASBincarnentdonc
unepistedesolutionpourl’applicationdecesloispuisqu’ilsproposentdifférentesfonctionnalités
quipermettentderenforcerlasécuritéliéeàl’utilisationdesservicesinfonuagiques,enplusde
proposerdesmécanismespourl’applicationdespolitiquesdesécuritédel’entreprise.Ilsontainsi
lepotentieldecentraliseretd’automatiserlagestiondelasécuritédesapplicationsinfonuagiques
utiliséesauseindel’organisation.
2.6LesCloudAccessSecurityBrokers(CASB):unesolutioncomplexeetambiguëLessectionsprécédentesdémontrentbien l’ampleurdudéfiensécurité infonuagiquepour les
organisations qui décident d’opter pour ce mode d’approvisionnement. Bien que plusieurs
solutions existent pour tenter de surmonter les défis, elles sont souvent disparates et leur
compatibilité, entre elles et avec les systèmes existants, est loin d’être démontrée. Par
conséquent,plusieursentreprisesspécialiséesensécuritéontcommencéàoffrirdessolutions
45
quifacilitentlagestiondelasécuritéinfonuagique.Cesproduits,lesCloudAccessSecurityBrokers
ouCASB, présententun grandpotentiel pour l’avenir de la sécurité,mais ils sont encore très
émergents. L’objectif de cette section est donc demieux comprendre cette classe d’outils en
présentant leursobjectifsdebase, leur fonctionnementet lesconditionsactuellesdumarché.
Cetteprésentationmettralatablepourletravailempiriqueàvenir.
2.6.1LesprincipesgénérauxLesCloudAccessSecurityBrokersreprésententuneclassedeproduitsdesécuritéinfonuagique
définieen2012parlafirmederechercheGartner(MacDonaldetFirstbrook,2012).Commeles
produitsqui laconstituentsontrelativementnouveauxetque lemarchéesttrèsfragmenté, il
règne une certaine confusion autour de la définition et des fonctionnalités des CASB (Coles,
2016b;N. Leong, 2016).D’ailleurs, une autre firmede recherche, Forrester, utilise les termes
CloudAccessSecurityIntelligence,CloudDataProtectionouCloudSecurityGatewaypourdésigner
desproduitsquiontsensiblementlesmêmescaractéristiquesquelaclassed’outilsdécritepar
Gartner.PuisqueladéfinitionetlacatégorisationdeForrestersontmoinsprécisesquecellesde
Gartner,cesontplutôtcellesdecettedernièrequiserontretenuescommepointdedépartpour
lesbesoinsdecetteétude.C’estaussiladéfinitionquesemblentavoiradoptéelesprofessionnels
etlesentreprisesdel’industrielorsqu’ilsréfèrentàcegenredeproduit.
Ceslogicielsoffrentdesfonctionnalitésvisantàremplirquatregrandsobjectifsdesécuritéetsont
disponibles en deuxmodes de fonctionnement, soit en tant qu’intermédiaires vers l’interface
d’application (API)21 du service infonuagique ou par proxy. En fonction des fournisseurs, ils
peuventêtreimplantésenmodeinfonuagiqueouenmodelocal,doncinstallésphysiquementsur
leslieuxdel’organisation.Danslecasoùilssontimplantésenmodeinfonuagique,ilssontvendus
àuncoûtrécurrentparutilisateur.Cecoût,àpartirdecinqdollarsparmois,varieenfonctiondes
fournisseurs,maisaussiselonlaversionutiliséepuisquecertainsfournisseursoffrentplusieurs
versionsdeleurproduit,chacuneoffrantunensembledefonctionnalitésdifférentes.
21L’interfacedeprogrammationd’applicationestlatraductionfrançaisedestermesApplicationProgramming
Interface (Grand dictionnaire terminologique de la langue française, consulté le 1 décembre 2016,
http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=26508293).
46
2.6.1.1LesobjectifsdesécuritéÀ la base, les CASB reposent sur quatre catégories de fonctionnalités qui permettent à
l’organisation de réaliser différents objectifs de sécurité des applications infonuagiques : la
visibilité, la conformité et la gouvernance, la sécurité des données et la protection contre les
menaces(Lawsonetal.,2015b;Lawsonetal.,2015c).Lalittératureoffredéjàdespistesquant
auxfonctionnalitésgénéralementoffertesparcetteclassed’outils.Mêmesi l’étudepermetde
creuserlesrequisfonctionnelspourunCASBdansuncontextespécifique,ilestdifficiledesefaire
uneidéeclairedupotentield’unCASBsanscetexamendétaillédecetteclassed’outils.LeTableau
2.3 présente les différentes fonctionnalités recensées et associées avec chacun des grands
objectifs. Les paragraphes qui suivent ce tableau décrivent davantage ces fonctionnalités.
47
Tableau2.3:FonctionnalitésdesCASBa
Objectifsdesécurité
Fonctionnalités
Visibilité
• Identificationdesapplicationsinfonuagiquesutiliséesdansl’entreprise.
• Identificationdesappareilsautorisésetnonautorisésutilisantleréseaude
l’entreprise.
• Vueconsolidéedel’utilisationd’applicationsinfonuagiquesdansuntableaude
bord.
Conformitéet
gouvernance
• Gestiondesaccèsbaséesurletypededonnées(publiques,privéesou
confidentielles)22etsurlerôledel’utilisateur.
• Traçabilitédesactivitésinfonuagiquesparlacréationdejournauxdesactivités.
• Gabaritsquiimposentlespolitiquesdeprotectiondesdonnéesafind’assurerla
conformitéàcertainesloisounormescommeSarbanes-OxleyouPaymentCardIndustry(PCIDSS).
Sécuritédes
données
• Priseenconsidérationdelaclassificationdesdonnéespourdéterminerl’actionde
sécuritéappropriée.
• Chiffrementdesdonnéesbasésurleurclassification.
• Applicationdespolitiquesdeprotectioncontrelapertededonnées(DLP).23
Protection
contreles
menaces
• Analyseducomportementdesutilisateursetidentificationdecomportements
anormauxouàrisque.
• Détectiondecontenususpectdanslesdonnéesoulesfichierséchangésviales
applicationsinfonuagiques.
• Blocagedesappareilsnonautorisésourefusd’accèsauxapplications
infonuagiques.
aContenutiréde:Cser,BalaourasetDostie(2015a);Lawson,MacDonaldetDeshpande(2015a);Lawsonetal.(2015b);Lawsonetal.(2015c);MacDonaldetFirstbrook(2012);MacDonaldetLawson(2015);ReedetLowans
(2016).
Visibilité
Lepremierobjectif,celuidelavisibilité,estaujourd’huiessentielpuisquelesemployésutilisent
diversappareilspouraccéderauxapplicationsd’affairesetauxdonnéesd’uneentreprise,quece
soitdesordinateurs,destablettesoudestéléphones(Lowans,HeiseretBuchanan,2016).Ces
appareilsnesontpasnécessairementceuxfournispar lacompagnieetappartiennentplutôtà
22Ilexistedifférentestaxonomiespouridentifierleniveaudeconfidentialitédesdonnées.Lescatégoriesvarient
d’une organisation à l’autre,mais les trois proposées ici sont généralement les plus acceptées.Une donnée
publiquecorrespondàde l’informationqui, sielleestdivulguéesansautorisation,n’aurapasd’impactsur la
réputationoulasécuritédel’organisation,desesemployés,desesclientsetdesespartenaires.Danslecasd’une
donnéeprivée,sadivulgationàl’extérieurdel’organisationpeutcauserunimpactmodérésurlaréputationet
lasécuritédel’organisation,maissansaffectersesactivités.Unedonnéeconfidentiellepeutavoirunimpactsur
lesactivitésdel’organisationetcauserunpréjudicegraveàlaréputationetàlasécuritédel’entreprise,deses
employés,desesclientsetdesespartenaires(CarnegieMelonUniversity,2016).
23Laprotectioncontrelapertedesdonnées(ouDataLossProtectionenanglais)estunensembledetechnologies
qui permettent de gérer les données et d’en prévenir la fuite hors des frontières de l’organisation. Ces
technologiespermettentàl’organisationd’opérationnalisersespolitiquesdeprotectiondesdonnées(Elastica,
2014).
48
l’employé,24cequirendleursurveillanceetleurcontrôleplusdifficilespourl’organisation.Cette
prolifération du nombre d’appareils a causé ce qu’on appelle le shadow IT ou l’utilisation
d’appareilsoud’applicationsnonautorisésparledépartementTId’uneorganisation(SilicetBack,
2014b). Cette pratique semble inévitable à notre èred’ubiquité des technologies et n’est pas
limitéequ’àl’infonuagique,maiselleposetoutdemêmedifférentsrisquesdesécurité.Eneffet,
sansmoyendesurveillanceetdecontrôle,lesentreprisessontincapablesdesavoirquiaccèdeà
leurréseau,leursdonnéesetleursapplications,commentcespersonnesyaccèdentetquelles
donnéesysontéchangées(MacDonaldetLawson,2015).S’ajoutentàcelalesrisquesd’infection
que ces appareils non autorisés et non protégés peuvent introduire dans l’écosystème
informatique(SilicetBack,2014b).L’organisationestdoncvulnérableauxattaquesdel’interne
oude l’externeetauxpertesdedonnées,entreautrescellesquicontiennentde l’information
confidentielle.Commeelledemeureresponsabledesesdonnées(etnonpaslefournisseurde
servicesinfonuagiques),l’entreprises’exposealorsàdesérieuxrisqueslégauxetadoncintérêtà
savoirquellesapplicationsetappareilssontutilisésparsesemployés,dansquelenvironnement
etàbienanalyserlesrisquesquiysontliés.
Certains CASB ont des fonctionnalités qui permettent de surveiller l’activité en lien avec les
servicesinfonuagiquesafindedresseruninventairedetouteslesapplicationsSaaSetdetousles
appareils utilisés par les employés de l’organisation. Ces fonctionnalités permettent aussi aux
entreprisesderepérerl’utilisationparsesemployésd’appareilsoud’applicationsnonautorisés
etde lessignaler (Lawsonetal.,2015b).Cette informationestgénéralementagrégéedansun
tableau de bord qui montre l’activité par utilisateur et par appareil. Cette consolidation de
l’informationpeutdoncaider l’organisationàprendredesdécisionsconcernant sespolitiques
d’utilisationentermesdesécuritéetdegouvernanceTI(ReedetLowans,2016).
Conformitéetgouvernance
Lesecondobjectif,laconformitéetlagouvernanceensécurité,estatteintgrâceàl’intégrationet
lacentralisationdespolitiquesdeprotectiondesdonnéesdel’entreprise.LeCASBpeutanalyser
les données utilisées par les services infonuagiques pour en identifier la classification
(ex:donnéespubliques,privéesouconfidentielles).Ensuite,ilpeutappliquerlesmécanismesde
24Cephénomèneparlequellesemployésutilisentleursappareilspersonnelsdanslecadredeleurtravailplutôt
queceuxfournisparl’entrepriseestcommunémentappeléBringYourOwnDevice(BYOD).
49
protection appropriés ou bien limiter l’accès à certains types de données qu’aux personnes
autorisées(MacDonaldetFirstbrook,2012).
CertainsCASBoffrentaussidesgabaritsdepolitiquesecollantàcertainesloiscommeSarbanes-
OxleyouPCIDSS (Lawsonetal.,2015a;Lawsonetal.,2015b).Lesgabarits indiquentauCASB
commenttraiterchacunedesdonnéesdel’applicationselonsanature.Parexemple,lanormePCI
DSSobligelesorganisationsàchiffrertoutnumérodecartedecréditlorsd’unetransaction(PCI
SecurityStandardsCouncil,2013).SionmetenplacelegabaritPCIDSSpourunCASB,toutesles
donnéestransitantparl’applicationinfonuagiqueserontanalyséesetcellesquicontiennentdes
numérosdecartesdecréditserontalorsobligatoirementchiffrées.Lesgabaritspermettenttout
simplementd’appliquerautomatiquement lesexigencesassociéesàunecertaine loi (ouàune
pratiqueinterne)auxdonnéescorrespondantes.Decettefaçon,ilestbeaucoupplusfacilepour
l’organisationdeseplierauxloisenvigueuretons’assurequelespolitiquessontappliquéesde
façonuniformeàtouteslesdonnéesdesapplicationsinfonuagiques.Au-delàdel’impositiondes
politiquesdegouvernance,lesCASBenregistrentdansdesjournauxtouteslesactivitésliéesaux
applicationsSaaScommelesconnexions,lesutilisateurs,lesdonnéestransféréesversleservice,
etc.Cesjournauxpermettentdoncdegarderunetrace,cequipeuts’avérertrèsutileencasde
litige,d’auditoud’uneinvestigationsuiteàuneattaque.
Sécuritédesdonnées
En troisième lieu, les entreprises qui adoptent des services infonuagiques demeurent
responsables des données qui y sont échangées ou stockées (Cloud Security Alliance, 2011).
MêmesilaplupartdesfournisseursdeSaaSintègrentdesdispositifsdesécuritéàleursproduits,
cela n’est pas toujours suffisant pour répondre aux normes et aux besoins de certaines
organisations.Plusieursorganisationsprennentelles-mêmesen charge la sécuritépourmieux
protéger la confidentialité, l’intégrité et la disponibilité des données utilisées dans
l’environnement infonuagique. Les CASB peuvent aider l’entreprise à atteindre un plus haut
niveau de sécurité avec desmécanismes de chiffrement, de segmentation en unités25 ou de
protectioncontrelapertededonnées.
25Lasegmentationenunitésestlatraductionfrançaisedetokenization.Ils’agitd’unprocessusparlequelune
donnéesensibleestremplacéeparunélémentéquivalent,maissansvaleurexploitable(Gartner,2016).
50
Actuellement, seuls quelques fournisseurs SaaS offrent le chiffrement des données (Lowans,
2016). De plus, le chiffrement ne se fait pas nécessairement au niveau de chaque champ
individuel, mais au niveau de la base de données en partageant la clé avec plusieurs clients
(Lowans,2016).LeCASBoffreunesolutionàceproblèmeenidentifiantletypedechaquedonnée
transigeantparl’applicationinfonuagiqueet,siellerépondauxcritèresdéfinisparlapolitiquede
gouvernance,illachiffreraavantqu’ellenesoitenvoyéeverslefournisseur(Cseretal.,2015a;
Lawsonetal.,2015b).LorsquelafonctionnalitédechiffrementestdisponiblepourunCASB,les
donnéessontchiffréesindividuellementauniveauduchampetdirectementdansl’application.
Ainsi, une personne ne possédant pas la clé ne verra que des champs chiffrés en ouvrant
l’applicationouencasdevoldudisqueduroud’identifiantsdeconnexion(Kahol,2015).LesCASB
permettent donc de chiffrer les données du côté du client, s’assurant que le fournisseur de
services n’ait pas accès à ces données, ce qui respecte les recommandations en termes de
chiffrement des organismes normatifs présentés à la section précédente. L’inconvénient du
chiffrementparCASBplutôtqu’aveclesmécanismesprésentsdansl’applicationestunepossible
perte de fonctionnalité du SaaS, notamment dans le traitement des données ou la recherche
parmicelles-ci(Lowans,2016).
UnderniermécanismedeprotectiondesdonnéesoffertparlesCASBestlaprotectioncontrela
pertedesdonnées(DataLossPreventionouDLP).Cesfonctionnalitéssontutiliséesdepairavec
lespolitiquesdegouvernancedécritesprécédemment.Siunedonnéeestjugéetropsensiblepour
êtreutiliséeparuncertainSaaS,leCASBbloqueraletransfert(Lawsonetal.,2015c).Afindemieux
illustrercepoint,imaginonsqu’unemployéaundocumentcontenantunelistedenoms,dedates
de naissance et d’adresses des employés de son département. Il souhaite télécharger ce
document sur l’application de partage de fichiers Dropbox afin de le rendre disponible à un
collègue du département des ressources humaines. Puisque les CASB sont en mesure de
reconnaîtrecertainstypesdedonnéesdansdesdocumentscontenantdesdonnéesstructurées
ounon,leCASBdel’exemplepourraitintercepterletransfertetlebloquersil’entrepriseamisen
placedespolitiquesquiempêchentlepartagededonnéesconfidentiellessurDropbox.Enplus,
le CASB pourrait, par exemple, émettre une alerte dans le tableau de bord pour informer
l’administrateurquel’employéatentédepartagerdesdonnéesconfidentiellesparlebiaisd’une
applicationnonautorisée.Laprotectioncontrelapertedesdonnéespermetdoncdeminimiser
lesrisquesdefuitededonnéeshorsdesfrontièresdel’organisation.
51
Protectioncontrelesmenaces
LadernièredimensionpriseenchargeparlesCASBestlaprotectioncontrelesmenaces.LesCASB
peuventêtreconfiguréspourrécolter,soitautomatiquementoumanuellementselonleproduit,
les journauxgénéréspar lespare-feuet lesproxysque l’entrepriseadéjàenplace(Microsoft,
2016a).Cetteconfigurationleurpermetderecevoirdel’informationsurletraficcirculantsurle
réseaupuisdel’analyser,grâceàdesalgorithmesd’analytique,pouridentifierlestendancesdans
l’utilisationdesSaaSparlesutilisateurs(Cser,Holland,BalaourasetDostie,2015b).Grâceàcette
informationsurl’utilisation,leCASBestenmesurededétecterdesactivitéssuspectesliéesaux
applications infonuagiques ou aux appareils utilisés et d’émettre des alertes en conséquence
(Lawson et al., 2015a). Les CASB peuvent aussi supprimer ou mettre en quarantaine des
documents jugés suspects afin de protéger l’entreprise contre les virus ou autres logiciels
malicieux(Lawsonetal.,2015b;Lawsonetal.,2015c).Cesfonctionnalitésressemblentbeaucoup
àcellesdéjàoffertesparlespare-feuoulesanti-virus,avecladifférencequ’ellessontspécifiques
à l’infonuagique et qu’elles offrent un niveau d’analyse et de protection plus granulaire
s’appliquantàchaquechampde l’applicationutilisée(Coles,2016a;Kirti,2016).Onpeutdonc
choisird’appliquerdesprotectionsàdeschampsspécifiquesdansuneapplicationinfonuagique
plutôt qu’à l’application entière, ce qui permet d’accélérer le traitement des données et de
réduirelalatencelorsdel’utilisation.
Lesquatreobjectifsdecetteclassed’outilsprésentésdanscettesectionpeuventêtreutiliséspour
catégoriserlesproduitsensécuritédel’informationprésentementoffertssurlemarché.Comme
il le sera démontré plus tard, ce ne sont pas tous les CASBqui proposent des fonctionnalités
permettantd’atteindrelesquatregrandsobjectifs.L’immaturitédecetteclassed’outilsexplique
en partie cette variabilité,mais les deuxmodes de fonctionnement d’un CASB peuvent aussi
l’expliquer.Cesdeuxdernierssontdécritsplusendétaildanslaprochainesection.
2.6.2LesmodesdefonctionnementdesCASBIl existe deux modes de fonctionnement possibles pour les CASB : le mode en tant
qu’intermédiaireversuneinterfacedeprogrammationd’application(API)ouparproxy.Chacun
des deux offre des fonctionnalités et un niveau de protection différents. Certains CASB
fonctionnent seulement selon l’un des deux modes, alors que d’autres intégreront les deux
52
(Lawsonetal.,2015c).Laprochainesectionrésumecequesontcesdeuxmodes, lesfonction-
nalitésqu’ilspermettent,leursavantagesetleurslimites.
2.6.2.1Intermédiaireversl’interfacedeprogrammationd’application(API)Une interface de programmation d’application (API) est un ensemble de commandes et de
protocoles qui permettent à une application spécifique d’interagir avec d’autres applications
(Proffitt,2013).Àtitred’exemple,c’estgrâceàuneAPIqu’unutilisateurpeutseconnecteràun
sitewebgrâceàson identifiantFacebookplutôtquededevoircréeruncomptesur lesiteen
question.FacebookmetdoncàladispositiondesconcepteursdesitewebuneAPIquileurpermet
d’interagiraveclesapplicationsdeFacebook.LesAPIsontdoncdesblocsdecodequipeuvent
êtreréutilisésselonlesbesoins.
LesfournisseursSaaSpermettentgénéralementàleursclientsd’accéderauxAPIdisponiblespour
leurapplication.CesAPIpermettentauclientdebénéficierdecertainesfonctionnalités,définies
dans lecodede l’APIpar lefournisseur,maisquinesontpasdisponiblesdans l’applicationde
base(Proffitt,2013).Desoncôté,leclientdoit,pouryavoiraccès,programmerunecommande
pour l’appel à l’API. Une fois que la commande d’appel est lancée, il peut alors utiliser les
fonctionnalités ou obtenir l’information offerte par l’API en question. Dans les cas où il y a
plusieursAPIdisponiblespourunemêmeapplication, leclientdoitrecommencerceprocessus
pourchacunedesAPIauquel ilsouhaiteavoiraccès.L’éventaildecequ’ilestpossibledefaire
varieselonl’APIetlavolontédufournisseur,maispeutinclure,parexemple,lecontrôledesaccès
à l’application ou la récolte des données de connexion et d’utilisation (Lawson et al., 2015b;
ThomasetMoyer,2016).
Leslignesprécédentesmettentenévidencelerôlequeleclientaàjouers’ilsouhaiteavoiraccès
auxfonctionnalitésouà l’informationoffertespar lesAPI.Laprogrammationde lacommande
d’appelà l’APIdoitsefairemanuellementdansle langagedeprogrammationspécifiquechoisi
par le fournisseur (Malinverno, 2014). Il n’existe malheureusement pas de norme quant au
langageutilisépourprogrammerdesAPI,doncchaquefournisseurest libredeprogrammer la
siennedanslelangagequ’ilchoisit(Lawsonetal.,2015c).Conséquemment,l’utilisationdesAPI
requiertdesconnaissancesdanslelangageinformatiquedanslequell’APIqu’onsouhaiteutiliser
53
estprogrammée.26Pourl’organisationcliente,celarendlagestionetlecontrôledelasécuritédes
services SaaS plutôt complexes parce qu’il faut avoir recours à des ressources possédant les
connaissancestechniquesnécessaires.LesCASBrésolventceproblèmepuisqu’ilsagissentcomme
unintermédiairequipermetd’automatiserlaprogrammationdelacommanded’appelauxAPI
decertainesapplicationsspécifiquesetdecentraliserlaprésentationdel’informationconcernant
cesapplications(Sookasa,2016).
LaFigure2.4montrecommentleCASBinteragitavecunAPIdel’applicationinfonuagique,grâce
àunconnecteurinclusdansleproduitdufournisseurdeCASB.LesCASBn’ajoutentdoncpasde
nouvellesfonctionnalités,maispermettentplutôtd’obtenirunaccèsautomatiséetstandardisé
auxfonctionnalitésoffertesparlesAPIdufournisseurpuisqueleursconnecteurscontiennentle
coderequispourlancerlacommanded’appel.Ainsi,leclientéliminelebesoindeprogrammer
manuellementchacunedecescommandesd’appelpourlesAPIqu’ilsouhaiteutiliser.
Figure2.4:Modedefonctionnementd’unCASBentantqu’intermédiaireversl’API(AdaptationdeLawsonetal.,2015b,p.10)
Afind’illustrerlesproposprécédents,supposonsqu’uneorganisationimplanteunCASBenmode
d’intermédiaireversl’APIpourl’applicationSalesforce.Cetteapplicationpopulairedegestionde
larelationaveclesclientspermet,entreautres,defairedessuivisauprèsdesclientsactuelsou
26Cequiestdécritdansleparagrapheestlefonctionnementdebased’unAPI.Ilfautcependantmentionnerque
les fournisseurs de services infonuagiques sont conscients que leurs clients ne disposent pas toujours des
ressourcesoudesconnaissancesrequisespourprogrammerunecommanded’appelàl’API.Certainsoffrentdonc
des connecteurs qui sont essentiellement de petits programmes informatiques permettant de simplifier la
programmation de la commande d’appel. L’installation de ces connecteurs ne requiert que quelques
connaissancesdebasesenprogrammationetladocumentationnécessaireestlargementdisponiblesurlessites
Internetdesfournisseursdeservicesinfonuagiques(Google,2016;Microsoft,2016d;Salesforce,2016a).
54
potentiels.Enpremierlieu,l’organisationdevradéfinir,danslaconsoled’administrateurduCASB,
les politiques de protection des données qu’elle souhaite mettre en place. Elle peut choisir
d’utiliserungabaritprédéterminéquiestfourniavecleCASBoudepersonnaliserlespolitiques
selonsesbesoins.Imaginons,poursimplifiercetexemple,quelaseulerèglequ’ellemetenplace
estlechiffrementdesdatesdenaissance.Àprésent,supposonsqu’unemployédel’organisation
souhaite créer une nouvelle fiche de client (aussi appelé contact dans Salesforce). Suite à sa
connexionà l’applicationSalesforce, l’employétape les informationsdunouveaucontactdans
chacundeschampsrequis,parexemple,lenom,l’adresse,lenumérodetéléphone,ladatede
naissanceetlenumérodecartedecrédit.Unefoislesdonnéesentrées,celles-cisontenregistrées
sur lesserveursdeSalesforceetsontconsidérées«aurepos» jusqu’àcequ’unutilisateur les
sollicite.27 Le CASB, à certains intervalles donnés, lancera la commande d’appel vers l’API de
Salesforce,cequiluipermettradefaireunbalayagedesdonnéesaureposetdereconnaîtrecelles
quicorrespondentauxdatesdenaissancepourensuiteleschiffrertelquel’imposelapolitique
deprotectiondesdonnéesdéfinieparl’organisation.Lelancementdelacommanded’appelpour
lebalayagedesdonnéesaurepossefaitpériodiquementetnonpasentempsréel lorsqueles
donnéessontsaisiesdansl’applicationparl’utilisateur.Ilpeutdoncyavoiruncertaindélaientre
lemomentoùladonnéeestcrééeetceluioùelleestchiffréeparleCASB.L’utilisationd’unCASB
faitalorssimplementensortequecettecommandeestprogramméeetlancéeautomatiquement,
plutôtquededevoir faireappelàuneressourcetechniquespécialiséedans laprogrammation
d’APIspécifiqueàSalesforce.
LegrandavantagedesCASBquiagissentcommeintermédiairesversl’APIestqu’ilspermettent
d’appliquer desmesures de contrôle à un niveau très granulaire défini par l’entreprise (Kirti,
2016), c’est-à-dire jusqu’au niveau de chacun des champs utilisés par une application. Si un
moduleduCASBestdisponiblepourl’applicationenquestion,cedernierseraenmesuredelancer
un appel à l’API pour faire un balayage des données au repos dans la base de données de
l’application afin d’en identifier la nature et d’appliquer à chaque donnée les politiques de
27 L’applicationSalesforce inclut,dans sonoffredebase,une technologiequimasque seulement les champs
standards et chiffre jusqu’à 175 caractères dans des champs personnalisés avec des clés de 128 bits et
l’algorithmeAdvancedEncryptionStandard(AES).Pourbénéficierduchiffrementdeschampsstandardsavecun
algorithme256-bitsAES,soitlepluspuissantactuellementdisponiblesurlemarché,leclientdoitdébourserdes
fraissupplémentairesetcetteoptionn’estpasoffertepourtoutesleséditionsdeSalesforce(Kohgadai,2016;
Salesforce,2016b).
55
protectionquisontdéfiniesparl’organisation,maistoujoursdanslerespectdeslimitesdel’API
quisontimposéesparlefournisseurdel’application(Kirti,2016).Cescontrôlespeuventêtredu
chiffrementoudelasegmentationenunitésselonleniveaudeconfidentialitérequis.Lesobjectifs
de conformité aux politiques de gouvernance, de sécurité des données et de prévention des
menacessonttousréalisablesprincipalementparlemodeAPI(maistoujoursdansleslimitesde
cequ’offrel’APIenquestion)(Lawsonetal.,2015a).Deplus,ilsn’affectentpaslaperformance
de l’application et sont donc transparents pour l’utilisateur (Kirti, 2016). Leur puissance de
protectionestdonctrèsgrande,maislimitéeàquelquesapplicationspourlesquellesunmodule
duCASBestdisponible.
IlexistecertaineslimitesauxCASBquiagissententantqu’intermédiaireversl’API.Lapremière
estqu’ilssontdisponiblesquepourcertainesapplicationsetcelles-civarientselonlefournisseur
deCASB.Donclechiffrementoul’applicationdespolitiquesdeprotectiondesdonnéesaurepos
n’estpossiblequepourcertainesapplicationsspécifiquesprotégéesparleCASB.L’offrevaried’un
produitàl’autre,maispourl’instant,lesapplicationslespluscommunesdisponiblesaveclesCASB
sur lemarchésontBox,Dropbox,GoogleApps,Office365,SalesforceetServiceNow(Bitglass,
2016b; CloudLock, 2016; Elastica, 2016; FireLayers, 2016; Microsoft, 2016b; Netskope, 2016;
Palerra,2016;PaloAltoNetworks,2016;SkyhighNetworks,2016).Ilfautdoncqueleclientachète
lemodulespécifiqueàl’applicationqu’ilsouhaiteprotégerpourbénéficierdesavantagesduCASB
qui jouelerôled’intermédiairevers l’API.Donc,siparexemple,uneorganisationutiliseOffice
365,SalesforceetServiceNow,elledevraachetertroismodulesdifférentsetiln’estpasgaranti
quelefournisseurdeCASBqu’ellechoisiraoffreunmodulepourchacunedecestroisapplications.
Unautrepointnégatifmentionnéplustôtestquelemodeentantqu’intermédiaireversl’APIne
permet pas une protection en temps réel des données contrairement au mode par proxy
puisqu’unappeldoitêtrefaitversl’APIdufournisseuraprèsletraitementdeladonnée(Schuricht
etHafid,2016).
2.6.2.2ModeparproxyLetermeproxyestutiliséeninformatiquepourdésignerunintermédiaireentredeuxéléments
(Microsoft,2016f).EncequiatraitauxCASBenmodeproxy,celasignifiequecelui-ciagitcomme
unepasserellepourtoutletraficpassantentrel’organisationetleréseauexterne,unpeucomme
56
leferaitunpare-feu.LaFigure2.5estuneillustrationsimplifiéedel’intégrationduCASBavecles
pare-feude l’entreprisepour intercepteretanalyser letrafic. Ilpermetdonc laprotectiondes
donnéesentransit,contrairementaumodeentantqu’intermédiaireversl’APIquiestlimitéàla
protectiondesdonnéesaurepos(Coles,2016a).Ainsi, letraficprovenantde l’applicationvers
l’utilisateur(etvice-versa)estredirigéentempsréelversleCASBetensuitetraitéselonl’analyse
faiteparleCASBetselonlesrèglesquiyontétéconfigurées(Lawsonetal.,2015b).
Ilexistedeuxsous-groupesdefonctionnalitéspourlesCASBparproxy.Lereverseproxypermet
dedécouvriretdegérerlesappareilsnonautoriséssurleréseaudel’organisation,donctoutce
quitoucheauBYOD.Leforwardproxy,poursapart,permetdegérerlesappareilsautorisés,c’est-
à-dire les appareils fournis par l’organisation. Pour ce faire, l’organisation doit s’assurer de
configurerlespare-feudefaçonàcequetoutletraficduréseausoitredirigéversleCASBetles
paramètresdeproxy(proxysettings)dechaqueappareilsdoiventêtremodifiésenconséquence
(Bitglass,2016a;Kirti,2016).Lorsquelesdeuxgroupesdefonctionnalitéssontutilisés,leCASBest
enmesurededétectertouteslesactivitésenlienavecl’utilisationinfonuagiquesursonréseau,
quelesappareilssoientautorisésounon.
Figure2.5:Modedefonctionnementd’unCASBparproxy
(AdaptationdeLawsonetal.,2015b,p.9)
Leplusgrandavantagedumodeparproxyestqu’iloffrelaprotectionetl’analysedesdonnées
échangéespendantqu’ellessontentransit.LesCASButilisantcemoderessemblentbeaucoupau
pare-feuetd’ailleurs,ilss’yintègrent(Lawsonetal.,2015a).Cependant,contrairementaupare-
feuquibloquerasimplement l’accèsauréseau internede l’entreprise(Gordon,2016), leCASB
peutmettre en place certainsmécanismes de sécurité, selon l’analyse qu’il fait des données
57
comme,parexemple,d’exigerunmotdepasseoul’authentificationdel’utilisateur,derefuser
l’accèsoubiend’appliquerunfiligranesurundocument(Lawsonetal.,2015b).
LesCASBdisponiblesenmodeproxyontdeslimites,laplusgrandeétantlacomplexitéassociée
àleurinstallationetàl’effortd’ingénieriequiyestrattaché.Eneffet,commeilsdoivents’intégrer
auxautrescomposantesdesécuritéetdoiventêtreconfigurésdefaçonàcequetoutletraficdu
réseauysoitdirigé,leurmiseenplaceestpluscomplexequepourlemoded’intermédiairevers
l’API.Deplus,ilspeuventavoirunimpactsurlaperformanceencréantdelalatence,spécialement
si le trafic sur le réseau est élevé (Kirti, 2016; Lawson et al., 2015b). Finalement, un autre
inconvénientduCASBparproxyestqu’ildevientunpointdepanneunique28cartoutletraficdoit
obligatoirementypasser(Lawsonetal.,2015a).
Commechacundesdeuxmodesadesavantagesetdesinconvénients,ilpeutêtredifficileden’en
choisir qu’un seul. Le mode d’intermédiaire vers l’API permet une protection beaucoup plus
grandedesdonnées,maiscelle-cin’estlimitéequ’àquelquesSaaSetn’estpasentempsréel.Le
mode par proxy permet de surveiller tout le réseau de l’entreprise afin d’obtenir une vision
d’ensembledetouteslesapplicationsetdetouslesappareilsquiysontutilisés,menantàunplus
grandcontrôlesurleshadowIT.Cependant,ilestlimitédanslagammedesesmécanismesde
protection.Iln’estdoncpassurprenantdevoirdeplusenplusdefournisseursquicombinentles
deuxmodes,celuid’intermédiaireversl’APIetceluiparproxy,afind’offrirplusdefonctionnalités
(Lawsonetal.,2015a).UnCASBhybridepermetdoncd’offrirtouteslesfonctionnalitéspossibles
par lesdeuxmodes.D’ailleurs, la firmeGartnerrecommandedechoisirunCASBquiprenden
chargelesdeuxmodesafind’avoiraccèsàunpluslargespectredefonctionnalitésdesécurité
(Lawsonetal.,2015b).
2.6.3L’étatdumarchéetlacomplexitéduproduitLemarchédesCASBestenpleineémergenceetenpériodedeconsolidation(Lawsonetal.,2015c;
Reed et Lowans, 2016). Le marché est présentement constitué d’une quinzaine de joueurs,
28Unpointdepanneuniqueestlatraductionfrançaisedel’expressionsinglepointoffailurequisignifiequ’àelle
seule,unecomposantepeutcauserunepannegénéraliséedetoutlesystèmeinformatiqued’uneentreprise;
danscecas-ci,de tous les systèmesutilisésenmode infonuagique. (Granddictionnaire terminologiquede la
langue française, consulté le 17 mai 2016, http://www.granddictionnaire.com/ficheOqlf.aspx?Id_
Fiche=8419768).
58
principalementdesentreprisesendémarrage,maisplusieursgrossesentreprisesdelogicielsont
faitdesacquisitionsdanslesdeuxdernièresannéesafindemieuxsepositionnerdanscemarché
(Cseretal.,2015b).Parexemple,MicrosoftaachetélapetiteentreprisedeCASBAdallomen2015
(Cseretal.,2015b).Toujoursen2015, la firmeBlueCoataachetéElasticaetPerspecsys,deux
fournisseursdeCASB.BlueCoataparlasuiteétérachetéeenjuin2016parl’entreprisedesécurité
Symantec(Baker,2016).Ceschangementscausentunecertainevolatilitéetincertitudedansce
marché.Deplus,bienqu’onsembles’entendresurladéfinitiondeGartnerpourcatégoriserles
CASB,eninvestiguantlesfournisseursactuels,onserendcomptequeplusieurstententdefaire
passerleursproduitsdesécuritépourdesCASBalorsqueteln’estpaslecas.Autotal,ilsemble
doncyavoirbeaucoupdeconfusionautourdesCASBetdeleursfonctionnalités.Cettevolatilité
et consolidation du marché ainsi que la confusion autour de la définition même du produit
expliquentladifficultéàbienlecomprendre.Au-delàdecela,l’immaturitéduproduitfaitensorte
que les CASB sont appelés à se développer et à évoluer au cours des prochaines années. En
conséquence, ilestpossiblequed’iciquelquesannées,cesproduitschangent radicalementet
offrentdesfonctionnalitésdifférentesdecellesquilesdéfinissentactuellement.
Unautreaspectquirendlechoixd’unesolutiondetypeCASBdifficilepouruneentrepriseestla
complexité du produit. En effet, la section précédente montre que les CASB ont plusieurs
fonctionnalités possibles et qu’ils peuvent être implantés selon différents modes. En
conséquence, les CASB entrent dans la définition de Novak et Eppinger (2001) de produits
complexesquisontcaractérisésselonlestroispointssuivants:
1. Lenombredecomposantesduproduit
Les CASB ont des fonctionnalités qui tentent de d’atteindre quatre objectifs, soit la
visibilité, la conformité, la sécurité des données et la protection contre lesmenaces.
Cependant,cesquatredimensionsnesontpastoutesprésentespourchacundesCASB
surlemarchéetlesmécanismespourchaquedimensionvarientd’unesolutionàl’autre
selonlemoded’implantationparproxyouentantqu’intermédiaireversl’API.Deplus,le
nombre d’applications infonuagiques qui peuvent être sécurisées avec les CASB est
présentementlimité(Lawsonetal.,2015a)etlesmodulessontvendusàl’unitéselonles
applications pour lesquelles on souhaite assurer la protection. De ce fait, seules ces
applicationspourlesquellesilexisteunmoduledeCASBcorrespondantbénéficientdes
59
protectionscommelechiffrementoulagestiondesaccèsbaséesurletypededonnées
(MacDonald et Firstbrook, 2012). Une entreprise qui utilise plusieurs applications
infonuagiques devra potentiellement acquérir plusieurs modules ou CASB pour les
sécuriser.Enoutre,commelesfournisseursdumarchésontenconsolidation,lenombre
decomposantesoudemécanismesdesécuritéd’unproduitetlafaçondelesimplanter
risquentdechangerrapidementselonlademandeetlesprogrèstechnologiques.
2. L’enverguredesinteractionsàgérerentrelesdifférentescomposantes
UnedesfaiblessesdesCASBest leur intégrationavecl’infrastructuretechnologiquede
l’entreprise(ReedetLowans,2016).Telquementionnéplushaut,laplupartdesCASBse
vendentendifférentsmodulesetceux-cidoiventnonseulementêtrecompatiblesentre
eux, mais aussi avec les autres composantes de l’architecture. Comme l’entreprise a
probablementdéjàcertainsmécanismesetprocessusdesécuritételsdespare-feu,des
logicielsdegestiond’informationetd’événementsdesécurité(SecurityInformationand
EventManagement ou SIEM), des logiciels d’authentification ou bien des logiciels de
gestiond’appareilsmobiles(MobileDeviceManagementouMDM), il fautqueleCASB
puisse s’intégrer à ces processus et à ces outils afin de ne pas créer de silos
supplémentaires.Cedernierpointcomplexifielasélectionetl’implantation,maissurtout
l’exploitationdecessolutionsdansletemps,enplusd’augmenterlescoûts,lenombre
deressourcesetlescompétencesrequises.
3. Ledegrédenouveautéduproduit
L’infonuagique telle qu’on la connaît aujourd’hui est un phénomène relativement
nouveauet lasécuritéde l’informationdansuncontexte infonuagiqueestencoreplus
récente. LadéfinitiondesCASBnedated’ailleursquede2012 (Lawson etal.,2015b),
montrant l’immaturité et la nouveauté du produit. Les fonctionnalités, les
caractéristiquesetlesmodesdefonctionnementdesCASBnesontpasencorebiendéfinis
etrisquentd’évoluerdanslesannéesàvenir.
Enterminant,bienquelesCASBsoientunesolutionàhautpotentielpourcentraliserlagestion
de la sécurité infonuagique, l’immaturité dumarché et la complexité du produit rendent son
adoptiondifficile.Onserendcomptequecesproduits,malgrélesargumentsdemarketingdes
fournisseurs,sontloindereprésenterunesolutiontousazimutsensécuritédel’information.Il
60
s’agitplutôtd’unoutilquipermetdecentralisercertainsmécanismesetactivitésdesécurité,ne
remplaçantpasleslogicielsetlesoutilsactuellementenplace.L’intégrationdesCASBavecces
outilsestdoncd’unetrèsgrandeimportancepouréviterdecréerdessilosdanslesactivitésde
sécuritédel’organisation,ajoutantunelourdeurdansl’exploitationdecessolutions.
LequatrièmechapitredecemémoireprésentelesrequisentermesdeCASBpouruneentreprise
dudomainedelafinanceetdel’assurance. Ils’agitdupremierartefactréaliséet ilpermetde
synthétiserl’informationrecueillieetanalyséelorsdelacollectededonnées.Deplus,lesCASB
actuellement disponibles sont ensuite répertoriés et l’inventaire de leurs fonctionnalités est
dresséafindemieuxcomprendrel’offreetdelacomparerauxrequisdel’organisation(artefact
2). Finalement, un troisième tableau présente l’écart entre l’offre du marché et des requis
technologiques et fonctionnels de l’organisation (artefact 3). La méthodologie choisie pour
développercestroisartefactsestdécriteplusendétaildanslechapitresuivant.
61
Chapitre3: MéthodologieLechapitrequisuitapourobjectifdedécrirelaméthodologiederechercheactiondesign(RAD)
adoptéepourcemémoire.D’abord,unedéfinitiondelarechercheactiondesignappliquéeaux
technologies de l’information et des principes qui la sous-tendent seront exposés. Ensuite, le
choix de cetteméthodologie dans le contexte dumémoire sera justifié. Subséquemment, les
étapes et les activités de laméthodologie sont détaillées, suivi de la façondont elles ont été
opérationnaliséespourl’atteintedesobjectifsdecemémoire.
3.1Définitiondelarechercheactiondesign(RAD)Lestechnologiesdel’informationvisentàétudierl’adoptionetlagestiondestechnologiesàun
niveauindividueletorganisationneletsontsouventdécritescommeunescienceappliquée(Iivari,
2007)puisque les théoriesquienémergentdevraient s’appliqueràunmilieuorganisationnel.
Cependant, la réalité est toute autre et plusieurs professionnels se plaignent du manque de
pertinencedelarechercheacadémiquepourlapratique(BenbasatetZmud,1999).Eneffet,le
domainedesTIsembleavoirdeladifficultéàallierlathéorieavecsonapplicationdanslecontexte
organisationnel(BenbasatetZmud,2003).Parconséquent,certainesméthodologiesquiplacent
l’organisationaucentreduprocessusderecherche,commelarechercheaction,ledesignscience
et,plusrécemment,larechercheactiondesign,ontétéproposéesafinderemédieràceproblème.
La méthodologie adoptée pour le présent mémoire est la recherche action design qui a été
proposéeparSeinetal.(2011)entantqu’approchehybride,àlacroiséedelarechercheaction
et du design science. La recherche action est une méthode par laquelle le chercheur étudie
activement le changement organisationnel, c’est-à-dire qu’il participe au changement tout en
l’étudiant(BaskervilleetMyers,2004).Ledesignscience,poursapart,chercheàrésoudredes
problèmeshumainsettechnologiquesparlaconceptiond’artefactsquiseveulentinnovateurset
utilespourl’organisation(HevneretChatterjee,2010).L’artefactcrééàl’issuedudesignscience
peutprendreplusieursformestellesqu’unconstruit,unmodèleouune instanciation(Hevner,
March,ParketRam,2004).Plusprécisément,GregoretHevner(2013)indiquentquelesartefacts
peuventincluredesoutilsdemodélisationoudeprisededécision,desstratégiesdegouvernance
oudesméthodespourl’évaluationdetechnologiesdel’information.
62
Une des limites du design science est toutefois qu’il ne tient pas bien compte du contexte
organisationnel à partir duquel est créé l’artefact, donnant ainsi raison aux détracteurs qui
accusentlarechercheenTIdemanquerdepertinencepourlapratique(Seinetal.,2011).Ainsi,
la méthode de recherche action design proposée par Sein et al. (2011) met l’accent sur
l’intervention dans l’organisation afin de produire un artefact qui permettra de résoudre la
problématiqueàl’étude.Larésolutiondeceproblèmeorganisationnelsefaitgrâceàdesactivités
itératives d’intervention et d’évaluation, incorporées aux activités de développement de la
solution (l’artefact) (Sein et al., 2011). En effet, contrairement au design science dans lequel
l’activitéd’évaluationde l’artefact se fait à la toute finde sa conception, laRADproposeque
l’évaluationsoitintégréeencontinulorsdudéveloppementdel’artefact.Ilenrésultedoncune
méthodeitérativeetdynamiquequitientcomptedelarétroactiondesmembresdel’organisation
à l’étudependant la conceptionde l’artefact afin de garder les deux (l’artefact et les besoins
organisationnels)bienalignés.Ilfautnoterque,malgréquelquesdifférences,laméthodedeSein
etal.(2011)estfortementinfluencéedudesignsciencetelquedécritparHevneretal.(2004)et
parPeffersetal. (2007)etque,commeprésentédans lesprochainessections,certainsdeses
principess’appliquentaussiàlaRAD.
Ainsi, laRADestparticulièrementadaptéeaucontextedecemémoirepourplusieurs raisons.
D’abord,selonHevneretal.(2004),larechercheinspiréedudesignscienceestidéaledanslescas
oùlesrequisetlescontraintessontinstablesetproviennentd’uncontexteenvironnementalmal
défini. LesCASBentrentdans cette catégoriepuisque, commementionnédans la revuede la
littérature,ilssontdesproduitscomplexesetambigus,cequisous-tendqueleursfonctionnalités
etleursrequischangentàmesurequesedéveloppentlemarché,lesconnaissancesetlesbesoins
organisationnels.Larechercheactiondesigntientcomptedecetteinstabilitédanslesrequiset
permetunegrandeflexibilitépuisqueledéveloppementdel’artefactestunprocessusitératifet
dynamiquequis’alimenteducontexteorganisationneletdelarétroactiondesutilisateurscibles
(Seinetal.,2011).
Ensuite,peuimporteletypedeCASBqu’uneentreprisechoisit,cedernierdevrainteragiravec
toutes les autres composantes de l’infrastructure de l’organisation, ajoutant une couche de
complexitéauproblèmede ladéfinitiondes requis. LaRAD tient comptede cette complexité
63
d’interaction entre les composantes puisque lors de son intervention, le chercheur devra
comprendre le fonctionnement actuel de l’organisation afin d’en saisir les spécificités et de
proposerunartefactquis’intègreàcecontexte(Seinetal.,2011).
Deplus,lasécuritédel’information,dansuncontexteinfonuagique,représenteuneinquiétude
pourplusieursorganisations(JuelsetOprea,2013).LesCASBsontperçuscommeunesolution
potentielle aux problèmes de sécurité infonuagique,mais la définition des besoins qui y sont
rattachésestprésentementdifficileàréaliser.D’ailleurs,cetteproblématiqueaétéénoncéetrès
clairementlorsd’unentretienavecladirectiondudépartementdesécuritédel’informationde
l’entrepriseparticipante.Leurparticipationàdesforumsd’échangeoùlesdéfisdel’heuredeleur
industrie sont discutésmontre que cela représente une problématique véritablement ancrée
danslaréalitédesorganisationsdecetteindustrie.Cettesituationcorrespondàunedesdirectives
émisesdansl’articledeHevneretal.(2004)pourfaireuneutilisationappropriéed’uneapproche
tiréedudesignscience.
Finalement,puisquelestroisartefactsproduitsdanslecadredecemémoiresontenpartieliés
aucontexteorganisationneldanslequelsedéroulel’étude,l’approchederechercheactiondesign
proposéeparSeinetal.(2011)estparfaitementappropriée.Lesauteursargumententqueleur
méthodologie permet : 1) la résolution d’un problème organisationnel spécifique grâce à
l’interventionduchercheuret2)l’évaluationd’unartefactquirésoutleproblèmerencontrédans
lecontexteparticulierdel’organisation(Seinetal.,2011).Considérantquel’étudesedérouleau
sein d’une entreprise du domaine de la finance et de l’assurance et que la collaboration des
employés est requise afin de construire un ou des artefacts qui aident à résoudre leur
problématique,laméthodologiederechercheactiondesignsembledonctoutedésignée.
3.2DescriptiondelaméthodologieLaprésentesectionapourobjectifdeprésenterdefaçondétailléelaméthodologieadoptéepour
cemémoire.Pourcefaire,dansunpremiertemps, lesgrandeslignesdelaméthodologietelle
quedécriteparSeinetal.(2011)sontexposées.LaFigure3.1ci-dessousillustrelaséquencede
ces étapes. La section subséquente présente la façon dont les étapes préconisées ont été
traduitesdansl’approcheméthodologiqueutiliséelorsdelaréalisationduprésentmémoire.
64
Figure3.1:Processusderechercheselonlaméthodologiederechercheactiondesign(AdaptationdeSeinetal.,2011,p.41)
3.2.1LaRADselonSeinetal.(2011)Laméthodologiederechercheactiondesignsedéclineenquatreétapes.Ellessontprésentées
danslaprésentesectionavecunedescriptiondesélémentsimportantsquiontétéappliquésdans
cemémoire.
Étape1:FormulationduproblèmeLapremièreétapeconsisteàétudierunproblème.Seinetal.(2011)identifientdeuxfaçonsde
formulerleproblème:soitens’inspirantdelapratiquecommec’estlecasiciousoitens’inspirant
delathéorie.Lestâcheseffectuéeslorsdecettepremièreétapesontlessuivantes:
1.1. Identifieretconceptualiserl’opportunitéderecherche.
Une problématique de recherche, ancrée dans la réalité organisationnelle d’une
entreprise,estformuléeàcetteétape.UnedeslignesdirectricesdeHevneretal.(2004)
concernantlesméthodologiesdérivéesdudesignscienceestdes’assurerdelapertinence
duproblèmeàl’étude.LaproblématiqueénoncéeauChapitre1dumémoireainsiqueles
questions de recherche découlent de discussions avec des gestionnaires seniors de
l’entrepriseparticipante,cequidémontrel’importanceetlapertinenceduproblème.Les
65
CASBreprésententuneavenuedegrand intérêtpourcetteentreprise,maisdûau fait
qu’ilssonttrèsémergentsetencoreambigus,ilestdifficilepourl’organisationdecerner
sesbesoinspourcegenred’outil.Cetteétudeadoncpourbutd’établirlesfonctionnalités
qu’un CASB devrait posséder pour une utilisation optimale dans le contexte d’une
entreprisedudomainedelafinanceetdel’assurance.Conséquemment,lesrésultatsdu
mémoire auront une application très pratique puisqu’ils répondent directement à un
problèmeorganisationnel.Malgrécela,certainsélémentsdeceproblèmepourrontaussi
êtregénéralisésàplusieursautresentreprisesdel’industriequidoiventsesoumettreaux
mêmesrèglesentermesd’impartitioninfonuagique.
1.2. Formulerlaquestionderecherche.
Laoulesquestionsderechercheclarifientlesobjectifsprécisdel’étude.
1.3. Présenterleproblèmeentantqu’exempled’uneclassedeproblèmes.
Le problème énoncé aux étapes précédentes doit pouvoir être généralisé de façon à
contribueràlapratiqueetàlarecherche.LeprincipederrièrelaméthodologieRADn’est
pasd’agirentantqueconsultantquirésoutleproblèmeprécisd’uneorganisation,mais
plutôtdetenterdegénérerdesconnaissancespouvantêtregénéraliséesàuneclassede
problèmes (Sein et al., 2011) et être appliquéesdansd’autres entreprises. Le présent
mémoiretentedecontribueràdéfiniruneclassed’outilsconsidéréecommeémergente
etd’ainsiaiderlesentreprisesàprendredesdécisionséclairéesenlamatière.Bienque
l’étudesedérouleauseind’uneseuleorganisation,unepartiedesrésultatspourrontêtre
généralisés à toute l’industrie de la finance et de l’assurance canadienne puisque les
entreprisesqui la constituentontdesbesoins très similairesen termesde sécuritéde
l’informationàcausedelarigiditédesnormesetdesloislesrégissant.Deplus,lemonde
delasécuritédel’informationdanscetteindustrieesttrèspetit,cequisignifiequeles
connaissances générées par ce mémoire pourront y être diffusées rapidement et
facilement.
1.4. Identifierlescontributionsthéoriquesetlesavancéestechnologiquespotentielles.
La recherche de type RAD devrait contribuer à l’avancée des connaissances dans le
domaine, ce qui rejoint la quatrième ligne directrice de Hevner et al. (2004). Ces
connaissancesdoiventêtreidentifiéesdèsledébutduprojetderecherche.Laquestion
66
deladéfinitiondesbesoinsdanslecontextedeproduitscomplexesetambiguscomme
les CASBmérite d’être explorée. Aucune étude n’existe pour l’instant sur ce type de
technologie qui représente toutefois un fort potentiel pour assurer la sécurité des
entreprisesdansuncontexted’impartitioninfonuagique.Lemémoirevientdonccombler
unvidedanscedomaine.
1.5. S’assurerdel’engagementdel’organisationparticipante.
Un des principes à la base de la recherche action design est le développement d’un
artefactparl’entremised’uneinterventionenentreprise.Pourcefaire,lacollaboration
del’organisationestvitaledudébutjusqu’àlafinduprojet.Nonseulementlechercheur
devraêtreprésentphysiquementsurleslieuxdel’entreprise,maisselonlaméthodologie
RAD,ildevrainteragiraveclesemployésetavoiraccèsàladocumentationnécessaireafin
debiencomprendrel’environnementorganisationnel.
1.6. Identifierlesrôlesetresponsabilités.
Ilestimportantquel’organisationetlechercheurs’entendentsurlesobjectifsduprojet
de recherche, les rôles, les attentes et les responsabilités de chacun avant que
l’interventionenentreprisenedébuteafind’évitertoutmalentenduouconflitpendant
la réalisation de l’étude. Comme la nature de l’étude implique l’accès à de la
documentationhautementconfidentiellesur lesprocessuset lesexigencesdesécurité
de l’entreprise, il est très important que les attentes et les responsabilités face au
chercheur soient bien établies a priori. C’est donc aussi à cette étape que la
documentationnécessaireàl’étudeseraidentifiéeetquel’entreprisedevras’assurerque
lechercheuryaitaccès.
Étape2:Construction,interventionetévaluationLasecondeétapeestcellede«Construction,interventionetévaluation»quitentederésoudre
leproblèmedéfiniàl’étapeprécédente.Àcepoint-ci,lacollaborationdel’entrepriseàl’étude
est essentielle afin de favoriser le partage d’expériences et de savoirs entre le chercheur et
l’organisation.Deplus,lechercheuretlesmembresdel’organisations’influencentmutuellement
pourtenterdedévelopperunartefactquirésoudraleproblème.Enoutre,àcetteétapes’effectue
l’évaluation de l’artefact produit pour s’assurer qu’il réponde aux objectifs énoncés.
67
Contrairementaudesignsciencequiconsidèrecetteactivitécommeséquentielleàlacréationde
l’artefact, la méthode de recherche action design intègre l’évaluation à la construction de
l’artefact,faisantainsidudesignuneactivitéitérativequiestalimentéeparlacontributiondes
membresde l’organisationparticipante.D’ailleurs, cetteétape consisteenplusieurs cyclesde
construction,d’interventionetd’évaluationquiutilisentlesavoirgénérélorsducycleprécédent
pouraméliorerl’artefact.
2.1. Trouverlesciblesdecréationdesavoir.
Les cibles de création de savoir sont les représentants organisationnels qui seront
intrinsèquementintégrésencontinuauprocessusd’élaborationdel’artefact.Eneffet,la
participationdesmembresdel’entrepriseestessentielleàlacréationdesavoirpuisque
c’estgrâceàleursintrants,leurssuggestionsetleurrétroactioncontinusquelechercheur
pourradévelopperunartefactutileetpertinent.
2.2. Choisirlasourcedelaconception.
Cette étape peut être, à un extrême, dominée par le développement de l’artefact
technologiqueou,àl’autre,parl’organisationlorsquelasourced’innovationprovientde
l’intervention elle-même (Sein et al., 2011). Tout comme l’affirment les auteurs, le
développementd’unoutildestructurationdeladécision,danslecasprésent,unoutilde
compréhension et d’analyse des CASB, tient plus de l’innovation au niveau de
l’organisationelle-même.Eneffet,mêmesiunartefactvisibleseracréé,leprocessusde
l’intervention lui-même, et toute la réflexion et la participation qu’il suscitera, sera la
sourced’unapprentissageorganisationnelimportant.TelqueledisentSeinetal.(2011),
il est alors de la plus grande importance de bien choisir et d’intégrer avec soin les
membresdel’organisationauprocessusderéalisationdel’intervention.Onpeutparler,
danscecasprécis,d’unprocessusdeco-constructiondelaconnaissance.
2.3. Exécuterlecycledeconstruction,d’interventionetd’évaluation.
Cette étape se base sur le principe d’influence mutuelle entre le chercheur et les
membresdel’organisation.Lechercheuramènedesconnaissancesthéoriquesalorsque
lesmembresdel’entrepriseontunsavoirspécifiqueaucontexteorganisationnel,cequi
permetd’avoirdeuxperspectivesdifférentessurleproblèmeàl’étude(Seinetal.,2011).
Afindedévelopperl’artefact,lechercheurdoitsebasersurlathéorie,maisildoitsurtout
68
tenircomptedel’environnementorganisationnel,d’oùl’importancedelarétroactiondes
utilisateursetdesemployés.Deplus,lesauteursmentionnentl’importanced’intégrerles
activitésd’évaluationàcellesdeconstructionetd’interventionafinderaffinerledesign
del’artefact.
2.4. Évaluers’ilyaunbesoinderépéterdescyclessupplémentaires.
LaméthodologieRADseveutitérative,cequisignifiequelesactivitésdeconstruction,
d’intervention et d’évaluation effectuées précédemment servent de base aux
subséquentes.Cependant, le chercheurdoitêtreenmesured’évaluer s’il est adéquat
d’effectueruncyclesupplémentaireoubiendes’arrêterpouréviterdetomberdansle
piègedesitérationsperpétuelles.
Étape3:RéflexionetapprentissageLatroisièmeétapes’appelle«Réflexionetapprentissage»etelles’effectueenmêmetempsque
lesdeuxétapesprécédentes.Eneffet,lechercheursedoitdeconstammentremettreenquestion
sesconclusionsafindegénérerdessolutionsauproblème.Aufuretàmesurequ’ilavancedans
sonétude,ilaccumuledusavoirspécifiqueàl’organisationqu’ilappliqueensuiteàlacréationde
l’artefact. Le processus doit être adapté aux nouvelles connaissances acquises lors de
l’interventionauseinl’entreprise.Lesactivitésquicaractérisentcetteétapesontlessuivantes:
3.1. Réfléchiràlaconceptionetaudesignpendantleprojet.
CommelementionnentHevneretal.(2004)dansleurslignesdirectricesenmatièrede
designscience,ledesigndoitêtreperçucommeunprocessusderecherche.Ildoitêtre
centralàtouteslesactivitésderechercheetlechercheurdoitconstammentpenseràla
façon dont ses interventions influencent la conception de l’artefact final. Il doit aussi
garderentêtequel’artefactconçudevras’appliqueràuneclassedeproblèmesetnon
passeulementàl’organisationàl’étude.
3.2. S’assurerdurespectdesprincipesderecherche.
La rigueur, telle que le font valoir Hevner et al. (2004), est essentielle dans toute
méthodologiederecherche.Lechercheursedoitdoncd’appliquerlaméthodologiedans
sonintégralitéetderespecterlesprincipesénoncésauxétapesprécédentes.
69
3.3. Analyserlesrésultatsdesinterventionsselonlesbutsénoncés.
Les objectifs de l’étude sont énoncés avant d’entamer l’intervention en milieu
organisationnel, à l’Étape 1 : Formulation du problème. À la fin de son mandat, le
chercheurfaituneréflexionsurcesobjectifsetévalues’ilsontétéatteints.Sicen’estpas
lecas,ildoittenterd’identifierlescausesetproposerdesexplications.
Étape4:OfficialisationdesapprentissagesFinalement,ladernièreétapeestcelled’«Officialisationdesapprentissages».Àcepoint-ci, la
solutionquiaétédéveloppéepourrépondreauxbesoinsspécifiquesd’uneorganisationdoitêtre
généraliséeàuneclassedeproblèmesdansundomaineparticulier.Eneffet,bienquelepropre
de la recherche action design soit qu’elle se déroule dans une organisation spécifique, les
problèmesqu’elletentederésoudrenesontpasgénéralementspécifiquesàcetteorganisation,
maisdevraientpouvoirêtregénéralisésàundomaineouuneindustrie.Lesactivitésréaliséeslors
decetteétapesont:
4.1. Transférerlesapprentissagesenconceptspouruneclassedeproblèmesdudomaineà
l’étude.
IlestdifficiledefairedesgénéralisationslorsquelaméthodeRADestemployéedûaufait
queledéveloppementdel’artefactestintimementliéàl’environnementorganisationnel
dans lequel se déroule l’étude. Cependant, le chercheur devrait pouvoir tirer de son
artefact,unensemblede fonctionnalitésoudecaractéristiquesqui s’appliquentàune
classe de problèmes à plus haut niveau que le problème spécifique de l’organisation
étudiée(Seinetal.,2011).
4.2. Partagerlesrésultatsaveclesprofessionnelsdumilieu.
LesconnaissancesgénéréesparlarechercheenTIsedoiventd’êtreapplicablesdansles
organisations(BenbasatetZmud,1999).Parconséquent,unedesactivitésdelarecherche
actiondesignestdepartagerlesavoiracquisavecdesprofessionnelsdel’industrieafin
qu’ilspuissentenbénéficieretéventuellementl’appliquerdanslecadredeleurtravail.
70
4.3. Exprimerlesapprentissagesàlalumièredesthéoriessurlesquellessebasel’étude.
Cetteactivités’appliquesurtoutdanslecasoùleproblèmeaétéformuléens’inspirant
delathéorieplutôtquedelapratique.Ellereprésenteuneréflexionetunediscussionsur
lesmodèlesthéoriquesutiliséslorsduprojetderechercheetlesapportsqueceprojeta
surcesmodèles.
4.4. Formaliserlesrésultatspourladiffusion.
La formalisation peut se faire de plusieurs façons, notamment par la publication d’un
article,d’unethèse,d’unmémoireouparlaparticipationàdesconférencesacadémiques
oùestprésentéel’étude.
3.2.2Détailsdel’applicationdelaRADdansleprésentmémoireS’inspirantdesétapesdel’approcheprésentéeparSeinetal.(2011),leTableau3.1,présentéà
lapagesuivante,offreunedescriptiondesactivitésquiontétéeffectuéesàchacunedesétapes
delaméthodologiederechercheactiondesignutiliséepourlaréalisationdecemémoire.Dans
ladernièrecolonne,onyretrouve,leschapitresdumémoirequicorrespondentàchacunedes
étapes.
71
Tableau3.1:Étapesméthodologiquesduprésentmémoire
ÉtapesselonSeinetal.(2011)
Sous-étapesselonSeinetal.(2011) Dates Activitésréaliséesdanslecadredecemémoire Extrant(s)
desactivités
1.Formulationduproblème
1.1.Identifieret
conceptualiser
l’opportunitéde
recherche.
Février
2016
• Discussionsavecdesprofessionnelsdel’organisationparticipanteafindemieuxciblerleursdéfisensécurité
infonuagique.
• Recherchessommairessurlaproblématiquechoisieafinde
définirlesgrandeslignesduprojetderecherche.
Chapitre1:
Introduction
1.2.Formulerla
questionde
recherche.
Février
2016
• Réalisationd’unerevuedelalittératuresur:1)infonuagiqueetdesdéfisquil’accompagnent;
2)solutionspossibleset3)CASB.
• Formulationdesquestionsderecherche.
1.3.Présenterle
problèmeentant
qu’exempled’une
classede
problèmes.
Mars
2016
• Rédactiondelaproblématique.
• Réflexionsurlacontributionpotentielleduprojet,àsavoircommentlesrésultatspourraientêtregénéralisésàd’autres
organisations.
1.4.Identifierles
contributionset
avancées
technologiques
potentielles.
Mars
2016
• Raffinementdesquestionsderechercheetdela
problématique.
• Rédactiondescontributionspotentiellesdel’étude.
1.5.S’assurerde
l’engagementde
l’organisation.
Mars
etavril
2016
• Obtentionduconsentementdel’organisation.
• Ententesurlaparticipationmonétaireetlogistiquede
l’organisationparticipante.
• Signaturedel’ententedeconfidentialitéavecl’organisationparticipante.
• Approbationdel’étudeparleComitéd’éthiquedela
recherchedeHECMontréal.
1.6.Identifierles
rôlesetles
responsabilités.
Avril
2016
• Établissementdesgrandeslignesduprojetderechercheet
commentletoutseraitopérationnaliséauseinde
l’organisationparticipante(échangedecourrielsavecle
directeursuperviseurdel’organisation).
Mai
2016
• Rencontreavecledirecteursuperviseurenentreprisepourétablirlesattentesetlesfrontièresduprojet.
• Rencontreaveclesmembresdel’organisationparticipante
pourexpliquerl’étudeetsesobjectifs.
• Négociationdel’accèsàladocumentationconfidentiellesur
lespratiquesdesécuritédel’entreprise.
2.Construction,interventionetévaluation
2.1.Trouverles
ciblesdecréation
dusavoir.
Mai
2016
• Jumelageavecunemployédel’organisation(parrain)pour
faciliterl’intégrationetl’organisationderencontresavecles
spécialistesetlesexpertsauseindel’organisation.
• Identificationdespersonnesclésdel’entreprise(spécialistesetexperts)quisontintégréesdeprèsaudéveloppementdes
artefacts.
Chapitre2:
Revuedela
littérature
2.2.Choisirla
sourcede
conception.
Mai
2016
• L’organisationestaucœurdecetteétape;s’assurerde
conserverl’engagementdespersonnesidentifiées.
Tableau3.1:Étapesméthodologiquesduprésentmémoire(suite)
72
ÉtapesselonSeinetal.(2011)
Sous-étapesselonSeinetal.(2011) Dates Activitésréaliséesdanslecadredecemémoire
Extrant(s)des
activités
2.Construction,interventionetévaluation(suiteetfin)
2.3.Exécuterle
cyclede
construction,
d’interventionet
d’évaluation.
Maià
août
2016
• Étudedesnormesetdesmeilleurespratiquesensécuritéde
l’informationafindepréparerl’interventionenentreprise(étude
approfondiedelalittérature).
• Identificationdesdéfisspécifiquesàlasécuritéinfonuagiquedel’entreprise.
• Observationparticipanteauseindel’entreprise(participationauxréunionsd’équipe,prisedenotesetconversations
informelles)permettantdecomprendreenactionlesdéfis
rencontrés.
• Inventaireetdocumentationdesprocessusetdesactivitésde
sécuritédel’entrepriseainsiquedesprincipesquilessous-
tendent(grâceàdesrencontresd’équipe,laconsultationdela
documentationdel’entreprise,desentrevuesinformellesavec
desresponsablesdelasécuritédel’information,desarchitectes,
desspécialistesencryptographieetdesconseillersen
gouvernancedelasécurité).
• IdentificationdesrequisfonctionnelsettechnologiquespourunCASBquiseraitéventuellementutiliséauseindel’organisation
participanteetdéveloppementdelagrillederequisprésentée
danslesrésultats(artefact#1).
• Rencontreavecspécialistes(conseillersengouvernance,responsablesdesécurité,architectesdesécurité)de
l’organisationparticipantepourrecueillirleurrétroactionsuite
auxrencontresaveclesfournisseurs.
• Présentationinformellehebdomadairedelagrilledesrequisen
sécuritéauparrainafind’évaluerletravaileffectuéetd’établir
lesétapessuivantesetlesspécialistesàrencontrer.
• ConsultationdeladocumentationdeGartneretdeForrester
afindefairelechoixfinaldesdouzefournisseursdeCASBqui
serontanalysésdanslecadredel’étude.
• DocumentationdesfonctionnalitésdesCASBdisponiblessurle
marchéenfaisantuneanalyseapprofondiedessiteswebdes
fournisseurs(etdetouslesdocumentsqu’ilscontiennent
comme,parexemple,desfichestechniquesdeproduit,des
livresblancsetdumatérieldemarketing).
• OrganisationdetroisrencontresvirtuellesavecdeuxfournisseursdeCASBparmilesdouzesélectionnés.
• ÉchangedecourrielsavecdeuxautresfournisseursdeCASBparmilesdouzesélectionnées.
• Développementd’unegrillerecensantlesfonctionnalitésetles
caractéristiquesdesCASBchoisis(artefact#2)grâceàl’analyse
del’informationrecueillie.
Chapitre4:
Résultats
2.4.Évaluers’ilya
unbesoinde
répéterdescycles.
Maià
août
2016
• Évaluationdutravailaccomplietdesartefactsen
développementgrâceàdesdiscussionsaveclesemployésde
l’organisation.
• Présentationinformelledel’évolutiondutravailaudirecteur
superviseurenentreprisetouteslesquatresemainespour
recueillirsarétroaction.
• Développementd’unegrillepermettantd’analyserlesécarts
entrelesrequisdel’organisationetlescaractéristiquesdes
produitssurlemarché(artefact#3:Tableau5.1).
Chapitre4:
Résultats
et
Chapitre5:
Discussion
Tableau3.1:Étapesméthodologiquesduprésentmémoire(suite)
73
ÉtapesselonSeinetal.(2011)
Sous-étapesselonSeinetal.
(2011)Dates Activitésréaliséesdanslecadredecemémoire Extrant(s)des
activités
3.Réflexionetapprentissage
3.1.Réfléchiràla
conceptionetau
designpendantle
projet.
Maiàaoût
2016
• Observationparticipanteauseindel’entreprise(participationauxréunionsd’équipeetconversations
formellesetinformelles)permettantdevaliderla
compréhensiondesrequis,desartefactsen
développementetlapertinencedessolutionsformulées
afindegarderleslivrablesalignéssuruneinterprétation
justedesrequiscomprisetdocumentés.
Chapitre4:
Résultats
3.2.S’assurerdu
respectdes
principesde
recherche.
Avril2016 • Rédactionduchapitresurlaméthodologiedumémoire.
Chapitre3:
MéthodologieMaiàaoût
2016
• RespectdesétapesquisonténoncéesdanslaméthodologiedeSeinetal.(2011)etcontenuesdansladéclarationapprouvéeparleComitéd’éthiquedeHEC.
• Documentationdetouteslesinteractionsenentreprise
(agendaetprisedenotes).
3.3.Analyserles
résultatsde
l’intervention
selonlesbuts
énoncés.
Maiàaoût
2016
• Suiteàlarétroactiondesemployésdel’organisationet
dudirecteursuperviseur,évaluationdupremieretdu
secondartefactselonlesobjectifsdel’organisationet
selonlesobjectifsdel’étudeafindedéterminers’ilsont
étéatteints.
• Formalisationdel’analysemenantaudéveloppementde
l’artefact#3suiteauxcommentairesdesmembresde
l’organisationsurlesdeuxpremiersartefacts.
• Àlafindel’intervention,rencontreavecledirecteursuperviseurafindefairelebilansurlesapprentissageset
acquisfaitspendantl’intervention.
Chapitre4:
Résultats
Aoûtà
octobre
2016
• RédactionduchapitredelaDiscussiondanslequelsontprésentéesuneanalysedesrésultatsainsiqu’une
discussionsurlepotentieletleslimitesdesCASBpour
l’organisationàl’étudeetpourd’autresentreprisesdela
mêmeindustrie.
• Discussionsdesrésultatsetdel’analyseavecladirectricederecherche.
Chapitre5:
Discussion
4.Officialisationdesapprentissages
4.1.Transférerles
apprentissagesen
conceptspourune
classede
problèmesdu
domaineàl’étude.
Septembre
etoctobre
2016
• Réflexionsurlesapprentissagesqued’autresentreprisespeuventtirerdel’exercicefait.
• RédactiondelasectiondesContributionsàlapratiqueetàlarechercheappliquéeduchapitredeconclusion.
Chapitre6:
Conclusion
et
Projet
d’article4.2.Partagerles
résultatsavecles
professionnelsdu
milieu.
Août2016
• Présentationformelle?del’artefact#1surlesrequis
technologiquesetfonctionnelsensécuritéinfonuagique
auxmembresdel’entrepriseparticipanteafinde
présenterlesconclusionspréliminairesdel’intervention.
• Présentationauxmembresdel’organisationdel’offrede
CASB(artefact#2)etdesconstatsparrapportà
l’implantationpotentielled’unCASBselonl’analysedes
écartsentrelesbesoinsetl’offredumarché(artefact#3).
• PrésentationauxétudiantsdelaM.Sc.enTIdanslecadre
ducoursd’Atelierderechercheensystèmes
d’information.Cetteprésentationapermisdefamiliariser
lesfutursprofessionnelsauconceptdeCASBcomme
classed’outilsdesécuritéinfonuagique.
• Rédactiond’unprojetd’articlesurl’étude.
Tableau3.1:Étapesméthodologiquesduprésentmémoire(suiteetfin)
74
ÉtapesselonSeinetal.(2011)
Sous-étapesselonSeinetal.(2011) Dates Activitésréaliséesdanslecadredecemémoire Extrant(s)
desactivités
4.Officialisationdesapprentissages(suiteetfin)
4.3.Exprimerles
apprentissagesàla
lumièredes
théoriessur
lesquellessebase
l’étude.
Septembre
etoctobre
2016
• RédactiondeladiscussionduChapitre5quidémontre
lesécartsentrelesrequisdel’organisationetles
fonctionnalitésdesCASB(artefact#3).
Chapitre5:
Discussion
et
Projet
d’article4.4.Formaliserles
résultatspourla
diffusion.
Décembre
2016
• Dépôtdumémoire.
• Soumissionduplanpourunarticle.
75
Chapitre4: RésultatsLerésultatdelapremièreétapedelaméthodologieRAD,la«Formulationduproblème»,aété
présentéenintroductionàcemémoire.Larevuedelalittérature(Chapitre2)apermisd’entamer
ladeuxièmeétape,soit la«Construction, interventionetévaluation»enétablissant lesbases
nécessairesàlaplanificationdel’interventionenentreprise.LeChapitre4présentemaintenant
les résultatsde l’interventionenentreprise.L’interventionensoicorrespondauxdeuxièmeet
troisièmeétapesdelaméthodologie,c’est-à-direqu’elleapermisdeconstruirelagrilledesrequis
fonctionnelsettechnologiquesetd’ensuiteposerunregardcritiquesurletravailaccompligrâce
àlarétroactiondesemployésdel’organisationafind’évaluerencontinuletravailpourdécidersi
d’autresitérationsétaientnécessaires.
4.1MiseencontexteAvantdeprésenterlesrésultatsdel’interventionenentreprise,ilconvientderappelerlecontexte
danslequelaeulieulacollectededonnées.
Ledéveloppementdesartefactss’est faitauseindudépartementdesécuritéde l’information
d’unegrande29entreprisecanadiennequioffreunegammecomplètedeproduitsetdeservices
financiersauxparticuliersetauxentreprises.Commelesprocessusetl’informationpartagéspar
l’entreprisependantlaréalisationdel’étudesontdenaturesensible,celle-cisouhaiteconserver
l’anonymat. Laparticipationde l’entrepriseétait volontaireet ladirectiondudépartementde
sécuritésesentaitdémuniefaceaupotentieldecetteclassed’outils.Sonintérêtpourleprojet
était sincère,àunpoint telqu’elleétaitprêteàaccorderàunpetit groupedeprofessionnels
intéressésparlesCASB,letempsnécessairepourparticiperàl’atteintedesobjectifsduprésent
mémoire.Notonsquej’aiétérémunéréeàtitredestagiairependantlacollectededonnéesqui
s’estétaléesurunepériodedetroismoispendantl’été2016.
Ledépartementdesécuritédel’informationdel’entrepriseàl’études’occupedelagestiondes
identitésetdesaccès,despolitiquesdegouvernanceensécurité,delapréventiondelafraudeet
29SelonleMinistèredel’innovation,dessciencesetdudéveloppementéconomiqueduCanada,uneentreprise
degrandetailleemploieplusde500employésrémunérés(Ministèredel’innovation,sciencesetdéveloppement
économiqueCanada,pageconsultéele26mai2016,https://www.ic.gc.ca/eic/site/061.nsf/fra/02803.html).
76
de lamiseenplacedeprocessusdesécuritédanstous lesdépartementsettous lespointsde
services.Lemandatàréaliserenentrepriseétaitd’établirlesbesoinsetlesexigencesensécurité
del’informationdansuncontexted’impartitioninfonuagique.Cemandatneconstituaitpasun
exercice théorique, mais répondait à un réel besoin de l’organisation. En participant à la
réalisationdecemandat,l’entreprisesouhaitaitvraimentenapprendredavantagesurlesCASB
et les fonctionnalitésquiysontrattachéesafindevoirs’ilspourraientcomblersesbesoinsen
sécurité.Lalistedesbesoinsetdesexigencess’estparlasuitetraduite,pourcemémoire,enune
listederequistechnologiquesetfonctionnelsd’unCASBquiseraitutiliséparl’organisation,tel
quel’indiquelapremièrequestionderecherchedel’étude.Enconséquence,lesrésultatsdece
mémoireserontutilesàl’organisationpourl’aideràcomprendrecettenouvelleclassed’outils,
pourlaguiderdanslechoixd’unesolutionCASBoubienpourétablirlesrequisàincluredansun
appeld’offrespourcetypedelogiciel.
L’organisation à l’étude a émis le désir de se tourner davantage vers l’infonuagique dans les
prochainesannées,reconnaissantl’importancegrandissantedecemoded’approvisionnement.
Néanmoins,commenousl’avonsvudanslarevuedelalittérature,pourbeaucoupd’entreprises,
l’infonuagique,deparsanouveauté,imposeunlotdedéfistantauniveauduchoixd’unesolution
appropriée, qu’au niveau légal ou encore de la sécurité. En effet, les processus actuels
d’approvisionnementenservicesTIdel’entrepriseontétécrééspourlagestiondesfournisseurs
de services traditionnels et le virage vers l’infonuagique implique plusieurs changements. De
surcroît, considérant que l’organisation étudiée œuvre dans le domaine de la finance et de
l’assurance, elle détient énormément d’informations confidentielles sur ses clients, sur ses
employésetsursespartenairesetelleal’obligationlégaledelesprotégerentouttemps.Sielle
décided’impartiràdesfournisseursdeservicesinfonuagiquesletraitementetlestockagedeces
données,ellevoudrad’abords’assurerquetouteslesprécautionssoientprisespourconserver
leurconfidentialité,leurintégritéetleurdisponibilité.
Avecl’augmentationcontinuelledelaconsommationdeservicesinfonuagiques,l’entreprisese
voitconfrontéeàlalourdeurassociéeàlagestiondelasécuritéinfonuagique.Elleétudiedoncla
possibilitéd’acquérirunCASBpourfaciliterlagestiondecesservicesetassurerlamiseenplace
despolitiquesdegouvernanceensécuritédel’informationpourcemoded’approvisionnement.
Commeelleentrevoituneaugmentationdunombredeservicesinfonuagiquesutilisésdansles
77
prochainesannées,ellesouhaitedèsmaintenantcentraliser,standardiseret,autantquepossible,
automatiserlasécuritéassociéeàcemoded’approvisionnementpourenfaciliterlagestion.
4.2Lesrequisensécuritéinfonuagiquedel’organisationàl’étudeCettesectionviseàprésenter les résultatsde l’intervention.D’abord, lesactivitésméthodolo-
giquescorrespondantàl’étapede«Construction,interventionetévaluation»sontdétaillées.Le
toutestsuividesrésultatsquicomprennentd’abord lesrequis technologiqueset fonctionnels
pourunCASBdanslecontextedel’organisationétudiéeetensuite,ladescriptiondesfournisseurs
actuelsdeCASBetdesfonctionnalitésoffertesparleursproduits.
4.2.1 Description détaillée de l’étape méthodologique de«Construction,interventionetévaluation»L’étape de « Construction, intervention et évaluation » vise à développer les artefacts qui
constituentlesextrantsouleslivrablesduprojetderecherche.Undesaspectsimportantsdela
méthodologie RAD de Sein et al. (2011) est le principe du développement par itérations qui
demande une réflexion de la part du chercheur suite aux commentaires des membres de
l’organisation.Cetteréflexionpermetdepeaufinerl’artefactafindelerendrelepluspertinent
possiblepourl’entreprise,maisaussipourledomainecible.
L’objectif duprésentmémoireest ledéveloppementde trois artefacts : 1) la grilledes requis
technologiquesetfonctionnelsdel’entreprise,2)lagrilled’évaluationdesfournisseursactuelset
3) lagrilledesécartsentre lesdeuxpremiersartefacts (les requiset l’offre).Chacundes trois
répondàladéfinitiond’unartefactdeGregoretHevner(2013)etdeHevneretChatterjee(2010),
c’est-à-direqu’ilsontétédéveloppésentenantcompteducontexteorganisationneletdefaçon
itérative,soitenyintégrantencontinularétroactiondesemployés.Bienquel’organisationeût
unintérêtàenapprendredavantagesurlesCASBetquecertainsdesesmembresontparticipé
auxrencontresaveclesfournisseurs,leplusimportantpourelleétaitd’abordd’inventorierses
besoins et les requis nécessaires enmatière de sécurité de sécurité de l’information dans un
contexte infonuagique. Ainsi, les prochains paragraphes s’attardent principalement aux deux
premiers artefacts dont le développement fut directement influencé par l’environnement
78
organisationnelainsiquelarétroactiondesesmembres.Laréalisationdecesdeuxartefactss’est
faiteenparallèlepuisque lesdiscussionsconcernant lescaractéristiqueset fonctionnalitésdes
CASBontalimentélaréflexionetlescommentairessurlesrequisdesécuritédel’organisation.
Pourcequiestdutroisièmeartefact,sondéveloppementapusefaireàlasuitedesdeuxautres
puisquelagrilleprésentéeestenfaitlaformalisationdel’analysedesécartsentrelecontenude
l’artefact#1etceluidel’artefact#2.
Lapremièreactivitédel’étapede«Construction,interventionetévaluation»,soitl’identification
desciblesdecréationdesavoir,aétéeffectuéedanslapremièresemainedel’interventionen
entreprise.D’abord,unjumelageaétéfaitavecunconseillerengouvernancedelasécuritéqui
avaitcommetâchedemettreenplacelesexigencesentourantl’utilisationdel’infonuagiqueen
termesdesécurité.Ceparrainageafacilité,d’unepart,l’intégrationdansl’équipeet,d’uneautre
part,l’identificationdesciblesdecréationdusavoir.Ilconvientderappelerque,selonSeinetal.
(2011),lesciblesdecréationdusavoirsontlesreprésentantsorganisationnelsquisontintégrés
audéveloppementdel’artefact.Dèsledébutdel’intervention,certainespersonnesontpuêtre
identifiées comme telles. Elles incluent plusieurs employés de différents groupes au sein du
départementTI,soitdesarchitectesdesécurité,desconseillersengouvernancedelasécurité,
desresponsablesensécuritédel’informationdecertainesunitésd’affairesetdesgestionnaires
dudépartementdesécurité.Entout,douzespécialistesontétérencontrésindividuellementou
enpetitsgroupestoutaulongdel’étude.Certainesdecespersonnesontétéidentifiéesdèsle
débutdel’interventionenentreprisegrâceauparrain,alorsqued’autresontplutôtétéproposées
par les gens interviewés selon une technique d’échantillonnage appelée « boule de neige »
(Kumar,2014).
Unefoislesprincipalesciblesdecréationdusavoiridentifiées,ilaétépossibledecommencerle
premier cycle de « Construction, d’intervention et d’évaluation » pour reprendre les termes
propres à la méthodologie RAD. En premier lieu, il était important de se familiariser avec la
documentationliéeauxprocessusetauxexigencesdesécuritédel’organisation.Celles-cisont
divisées en positionnements et en encadrements. Les premiers sont des documents qui
consignent les bonnes pratiques en sécurité pour une technologie ou un domaine d’activité
spécifique.Lespositionnementssontdenatureplussuggestivequenormative,contrairementaux
encadrements. Ces derniers contiennent plutôt des exigences et des pratiques qui doivent
79
obligatoirement être mises en place dans toute l’organisation, sans exception. Les
positionnements et les encadrements sont divisés en plusieurs domaines ou thèmes et ils
représentent environ 150 pages de documentation. Certaines pratiques et certains contrôles
contenusdanscesdocumentss’appliquentaussiàuncontexted’impartitioninfonuagiqueetils
ont servi de base à l’identification des requis présentés dans le Tableau 4.2. En plus de la
documentationspécifiqueaucontexteorganisationnel,lesnormesprésentéesdanslarevuede
lalittératureduChapitre2ontservidefondementsthéoriques.
Unefoisquelesbasesthéoriquesfurentjetées,ilaétépossibledecommenceràorganiserles
rencontresaveclespersonnesidentifiéescomme«ciblesdecréationdusavoir».Cesrencontres
avaientpourbutdecernerlesrequistechnologiquesetfonctionnelsquedevraitavoirunCASB
implantédansl’organisationetquiontensuiteétéconsignésdansunegrille.Dansl’espritdela
méthodologie de recherche action design, l’élaboration de cette grille s’est fait en plusieurs
itérations,àlasuited’observationsetdediscussionstenuesdansl’entreprise.Aufinal,l’objectif
étaitd’intégrerplusieursperspectivesafind’obtenirunportraitaussicompletquepossibledes
besoinsdesécuritéde l’informationde l’organisationà l’étudeet,par lasuite,detraduireces
besoinsenrequisfonctionnelsettechnologiques.Commeleveut laméthodologie, l’important
étaitaussiderespectercontinuellementlecycled’identificationetdevalidationafindegarder
lesartefactsproduitsbienancrésdanslaréalitéterrain.
Ainsi,chaqueitérations’estdérouléecommesuit.Chacunedespersonnesrencontréesavaitun
champ d’expertise spécifique comme, par exemple, la relation avec les fournisseurs, la
cryptographie(ladisciplineliéeauchiffrementetàlaprotectiondel’information)oulagestion
desvulnérabilités.Ellesontétéconsultéespourrecueillir leursrecommandationsspécifiquesà
leurdomained’expertiseenlienavecl’utilisationdel’infonuagique,maisellesontaussipudonner
leuropinionsur l’entièretédudocumentderequis.Celaapermisd’obtenirdespointsdevue
variéssurlagrilledesrequisprésentéedanscemémoire.Cesrencontresontvariéendurée,allant
detrenteminutesàuneheureetdemieselonlescasetsesontétaléessurlestroismoisqu’a
duré lemandat. Elles se déroulaient généralement de la façon suivante : d’abord les grandes
lignesduprojetderechercheétaientexpliquées,ensuite ledocumentderequis (laversionen
cours de développement) était sommairement présenté, les recommandations spécifiques au
80
champ d’expertise de la personne étaient recueillies et, si le temps le permettait, les
commentairessurlesautressectionsdudocumentétaientrécoltés.
Àlasuitedechacunedesrencontres,uneanalysedel’informationrécoltéedevaitêtremenée.
Cetteétapecrucialeapermisdedistinguerlesfaitsdesopinionsdesprofessionnelsrencontréset
decomprendrecommentleurspropospouvaientêtretraduitsenrequispourunCASB.Deplus,
chaqueexperts’exprimaitsursondomaineetn’avaitpas lamêmevued’ensemblequ’avait le
chercheur.Ilfallaitdonccomprendrecommentlesproposdechacuns’intégraientàl’ensemble
des requisà l’échellede l’organisation,doncau-delàde leurchampd’expertise spécifique.Ce
travailderéconciliationetd’analysedel’informationapermisdedresserunportraitglobaldes
requispourl’ensembledel’organisation.Parlasuite,ledocumentétaitmisàjouretenvoyépar
courriel à la personne rencontrée pour vérifier que ses observations avaient été bien
documentéesoupourobtenird’autressuggestions,lecaséchéant.
Danslecadredecesitérations,lorsquejugénécessaire,certainsspécialistesontétérencontrés
plusd’unefois.Àlafindumandat,unedernièreitérationaeulieudanslecadred’unerencontre
avecdeuxdirecteurs,dontledirecteurprincipaldudépartementdesécurité.Cetteprésentation
desrésultats,d’uneduréedeprèsdedeuxheurestenuele17août2016,apermisderecueillir
les derniers commentaires quant au contenu présenté dans la section suivante du mémoire
(artefacts#1,#2et#3).
Le Tableau 4.1 présente les différentes personnes rencontrées selon leur titre (l’emploi du
masculinaétéprivilégié),lenombrederencontresformellesquionteulieuavecchacuned’entre
ellesetlesdatesdechacunedecesrencontres.Ilestàpréciserqueleparrainaparticipéàtoutes
cesrencontres,saufcellesdu17aoûtàcaused’unconflitd’horaire.
81
Tableau4.1:Sommairedesrencontresaveclesspécialistesdel'organisation
Titredesprofessionnelsrencontrés Nombred’entrevues Date
• Directeurdel’équipedegouvernancedesécurité 1 25mai2016
• Chefdel’équipedegouvernance
• Directeurdel’équipedegouvernancedesécurité3
31mai2016
10juin2016
7juillet2016
• Architectedesécurité1
• Architectedesécurité21 1juin2016
• Chefdel’équipedegouvernance
• Conseillerengouvernancespécialisédanslarelationavecles
fournisseursetlagestiondesincidents
1 2juin2016
• Chefdel’équiperesponsabledestestsd’intrusionetdes
balayagesdevulnérabilités1 6juin2016
• Conseillerengouvernancespécialiséedanslagestiondes
identitésetdesaccès1 15juin2016
• Responsableensécuritédel’informationspécialisédansles
technologiesutiliséesdansl’organisation1 16juin2016
• Responsableensécuritédel’informationspécialiséen
cryptographie1 22juin2016
• Architectedesécurité3 1 23juin2016
• Grouped’intérêtCASB
o Architectedesécurité2
o Architectedesécurité3
o Chefdel’équipedegouvernance
• Responsableensécuritédel’informationspécialisédansles
technologiesutiliséesdansl’organisation
1 27juillet2016
• Chefdel’équipedegouvernance
• Directeurdel’équipedegouvernancedesécurité
• Directeurprincipaldudépartementdesécurité
1 17août2016
Misàpartcesrencontres,uncomitéinformeldegensintéressésàenapprendredavantagesur
lesCASBaétéconstituéàlafinjuin.Dansletableauprécédent,cecomitéestnommé«Groupe
d’intérêtCASB»etilcomprenddeuxarchitectesdesécurité,lechefd’équipeetunconseillerde
gouvernance(leparrain)etunresponsabledelasécuritédel’information.Cesgensontparticipé
à trois rencontres virtuelles avec les fournisseurs de CASB (qui n’ont pas été incluses dans le
tableaupuisqu’ellesn’ontpaseud’impactsurledéveloppementdelagrilledesrequis)etàune
discussiondegroupeàlasuitedesrencontresaveclesfournisseurspourdiscuterdesCASBdans
lecontexteorganisationnelspécifiquedeleuremployeur.L’analysedespropostenuslorsdecette
conversationdu27juillet2016aétéspécialementutilepourcernerlesbesoinsdel’organisation
spécifiquemententermesderequisfonctionnelsettechnologiquespourunCASB.
82
En plus des requis, ce chapitre présente aussi un tableau des fonctionnalités des CASB
actuellementsurlemarché.Cesfonctionnalitésontétéidentifiéessuiteàl’examendediverses
sources comme lespamphletsd’informationdes fournisseurs,desappelsoudeséchangesde
courrielsavecdesreprésentantsdesfournisseursetdesdocumentsdisponiblessurInternet.De
plus,telquementionnéauparagrapheprécédent,troisrencontresvirtuellesontétéorganisées
avecdeuxfournisseursafinqu’ilsprésententleurproduitetenfassentladémonstration.
4.2.2PrésentationdesrésultatsLa grille ci-dessous reprend en partie les défis répertoriés dans la littérature et présentés
précédemment dans le Tableau 2.1 afin de faire l’inventaire des requis fonctionnels et
technologiquesensécuritédel’informationd’uneorganisationdel’industriedelafinanceetde
l’assurancedansuncontexteinfonuagique(artefact#1).Cettegrillereprésenteaussilaréponse
à la première question de recherche qui visait à identifier les requis fonctionnels et
technologiquespourunCASButilisédansl’industriedelafinanceetdel’assurance.Cesrequis
représentent l’idéal pour un CASB dans le respect des frontières fixées par les quatre grands
objectifsquecetteclassed’outilsentendremplir(voirlasection2.6.1.1).
LeTableau4.2présentelesrequisquisontséparésd’abordselonlesrequisfonctionnelsdesCASB
etensuiteselonlesrequistechnologiques.Letitredechacunedecessectionsestdansunecellule
griséepourmieuxmarquerladistinction.Ensuite,lesnotionsdeconfidentialité,d’intégritéetde
disponibilité (CIA) sont reprises dans la colonne de gauche. À celles-ci s’ajoute celle de la
gouvernance qui englobe la conformité aux lois et aux normes ainsi que l’imputabilité. Une
dernièresection,nommée«Autres»,correspondauxrequisquineconviennentàaucunedes
quatrepremièrescatégories,maisquis’avèrenttoutdemêmeessentiels.Onsesouviendraque
laconfidentialitéestlacapacitédelimiterl’accèsauxdonnéesauxseulespersonnesautorisées;
l’intégrité est l’habileté de préserver la structure et le contenu des données alors que la
disponibilitépermetdes’assurerquelesdonnéessontaccessiblesauxpersonnesautoriséesen
tout temps (Ardagna et al., 2015). La gouvernance, pour sa part, consiste en l’ensemble des
politiques,desmoyensetdesprocessusmisenplacepourassurerl’imputabilitéetlecontrôlesur
lesactivitésdel’organisation(vonSolmsetvonSolms,2009).Ensuite,danslagrille,pourchaque
83
requis global identifié, des requisplus spécifiques sont recensés. En italique, sous chacundes
besoinsspécifiques,onretrouveunedéfinitionouuneprécisionquidonneplusdedétailssurle
requisenquestionetlafaçondontils’appliqueauxCASB.Finalement,lescrochetsdanslesdeux
dernières colonnes à droite montrent pour quels types de services et pour quels modes
d’implantationlerequiss’avèrepertinent.
84
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique
Objectifsdesécurité Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS Public Privé(viauntiers)
Requisfonctionnels
a.
Confidentialité
a.1.Gestionde
l’identitéetdes
accèspour
s’assurerque
seulesles
personnes
autoriséesaient
accès.
a.1.1.Fédérationdesidentités.
• Lafédérationdesidentitéspermetdegérerl’identitéetlesattributsd’unutilisateurautraversdedifférentssystèmes(Rountree,2013).Danslecasdel’infonuagique,commeplusieursservicessontgénéralementutilisés,lafédérationdesidentitéspermetd’avoirunidentifiantuniquepourtouslesservices.LeCASBdoitintégrerlafédérationdesidentitéspourlesservicesinfonuagiques.
ü ü ü ü ü
a.1.2.Intégrationdespolitiquesdegestiondesaccèsetdesprivilègesdel’entreprise.
• LesprivilègesetlesautorisationsassociésàchaqueutilisateurdoiventpouvoirêtreintégrésauCASBafinqu’illesappliqueàchacundesservicesinfonuagiques.Cettefonctionnalitééviteunegestionindividuelledesaccèspourchaqueservice.
ü ü ü ü ü
a.1.3.Authentificationmulti-facteurpourlescomptesàhautsprivilèges(comptes
bénéficiantdeprivilègesd’administrateurouàhautrisquedesécuritépour
l’organisation).
• L’authentificationd’unutilisateurpeutsefaireselontroiscatégories:cequ’ilsait(ex:unmotdepasse),cequ’ilpossède(ex:unecartebancaire)oucequ’ilest(ex:unemesurebiométriquecommel’empreintedigitale).L’authentificationmulti-facteurexigeaumoinsdeuxfacteursparmilestroiscatégories(Rountree,2013).L’authentificationmulti-facteurdoitêtrefaiteparleCASBpourlescomptesàhautsprivilèges.
ü ü ü ü ü
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique(suite)
85
Objectifsdesécurité Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS PublicPrivé(viauntiers)
a.
Confidentialité
(suite)
a.1Gestionde
l’identitéetdes
accèspour
s’assurerque
seulesles
personnes
autoriséesaient
accès(suiteet
fin).
a.1.4Contrôledesaccèsbasésurlerôle(Role-basedAccessControlouRBAC).• LeRBACpermetàl’administrateurdusystèmedecréerdifférentsrôlesbaséssurleposteoccupéparlesemployés.Lespermissionssontensuiteattribuéesàcesrôles.Lesutilisateurssontassignésàunrôleetobtiennentlespermissionsliéesàcerôle.LeRBACfacilitedoncl’arrivéed’employéspuisqu’onn’apasàcréerunprofild’accèspourchaquenouvelemployé,onn’aqu’àl’assigneràunrôlequiluidonneraautomatiquementlesaccèsdontilabesoinpouraccomplirsontravail(Chen,ViolettaetYang,2013).EntermesderequispourunCASB,leRBACdoitêtreintégréafindesimplifierlagestiondespermissionsaccordéespourlacréation,lamodificationoulasuppressiondesdonnéesutiliséesdansl’environnementinfonuagique.Cespermissionssontattribuéesàdesgroupesspécifiquesd’utilisateursselonleurrôleetletyped’accèsnécessaires.
ü ü ü ü ü
a.2Empêcher
l’accèsaux
données
confidentielles
desclientspar
lefournisseur
ouparles
autresclients
dumême
service
infonuagique.
a.2.1Chiffrementdesdonnéesconfidentiellesaurepos.
• Lesdonnéesd’uneorganisationsontgénéralementclasséesselontroiscatégories:publiques,privéesouconfidentielles.Lesdonnéesconfidentiellessontcellesdontladivulgationàdespersonnesnonautoriséesestsusceptibledecauserdesdommagesgravesàl’organisationetàsaréputation.Parmilesdonnéesquisonthabituellementclasséesconfidentielles,ilyalesnumérosdecartesdecrédit,lesnumérosd’assurancesociale,lesdatesdenaissance,lesnumérosd’identificationpersonnels,etc.Cesdonnéesconfidentielles,lorsqu’ellesnesontpasutiliséesouentransit,doncaurepos,doiventêtrechiffréesentouttemps.CesfonctionsdoiventêtreaccompliesparleCASBchoisiparl’organisation.
ü ü ü ü ü
a.2.2Chiffrementdetouteslesdonnéesentransit,incluantcelleséchangéesentreles
machinesvirtuelles.
• Lesdonnéesentransitsontcelleséchangéesentredifférentssystèmesouservices.Ellesdoiventêtreconstammentprotégéesgrâceàdesprotocolesdechiffrementetce,peuimporteleurcatégorie(publiques,privéesouconfidentielles).LeCASBchoisidoitdoncchiffrerlesdonnéesentransit.
ü ü ü ü ü
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique(suite)
86
Objectifsdesécurité
Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS PublicPrivé(viauntiers)
a.
Confidentialité
(suiteetfin)
a.2Empêcher
l’accèsaux
données
confidentielle
sdesclients
parle
fournisseur
ouparles
autresclients
dumême
service
infonuagique
(suiteetfin).
a.2.3Lechiffrementnedoitpasaffecterlaperformancedesfonctionsderechercheoude
tridesdonnéesutiliséesparl’application.
• Lefournisseurdeservicesdoitdéchiffrerlesdonnéespourpouvoirlestraiter.Sil’utilisateursouhaiteeffectuerdesopérationscommedelarechercheouuntrisurlesdonnées,ellesdoiventdoncêtredéchiffréesaupréalable.Selonlesmeilleurespratiquesdiscutéesdanslarevuedelalittérature,lefournisseurnedevraitjamaisavoiraccèsauxdonnéesentextebrut.LeCASBdoiteffectuercesopérationssansdéchiffrerlesdonnéesafind’assurerleurconfidentialité.
ü ü ü ü ü
a.2.4Utilisationd’algorithmesstandards,éprouvésetàjourpourlechiffrement.
• Aprèsuncertaintemps,lesalgorithmesnesontplusconsidérésvalides,soitparcequ’unalgorithmeplussécuritaireaétédéveloppéoubienparcequ’ilsnesontplusassezpuissantsparrapportauxdéveloppementsentermesdecapacitémachine.LesalgorithmesutilisésparleCASBdoiventremplircerequis.
ü ü ü ü ü
a.2.5Identificationdesappareilsautorisésounonquiutilisentdesservices
infonuagiques.
• L’organisationdoitêtreenmesured’identifiertouslesappareilsutiliséssursonréseau.Cesderniersincluentlesappareilsautorisés,doncgénéralementceuxfournisparl’organisation,etlesappareilsnonautorisés.LeCASBdoitidentifierlesappareilsnonautorisésetenempêcherouenrestreindrel’accèsauxservicesinfonuagiques.Aprèslaconfigurationdespratiquesd’accès,ilfautquecelasoitfaitdefaçonautomatiquepouréviterdeseffortsdegestionsupplémentaires.
ü ü ü ü ü
a.2.6Identificationdesapplicationsinfonuagiquesquisontutiliséesdansl’organisation.
• LesemployésnepassentpasnécessairementparledépartementTIpourutiliserouinstalleruneapplicationsurleursappareils(Lowansetal.,2016).Ilspeuventmêmeyaccéderdirectementàpartird’unnavigateurweb.Ildevientdoncessentielpourl’organisationdesedoterdemoyenspouridentifierquellesapplicationssontutiliséesparlesmembresdel’entrepriseafind’évaluerleniveauderisqueauquelellesexposentl’organisationetpourappuyerlesdécisionsdeladirectionàsavoirsielleautoriseounonl’utilisationdecesapplications.LeCASBdoitinventorierl’utilisationdesservicesencontinu.
ü ü
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique(suite)
87
Objectifsdesécurité
Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS PublicPrivé(viauntiers)
b.Intégritéb.1Altération
desdonnées.
b.1.1Chiffrementdesdonnées.
• Lesalgorithmesdechiffrementpermettentdeconserverl’intégritédesdonnéesetd’empêchertoutepersonnenepossédantpaslacléd’altérercesdonnées.
ü ü ü ü ü
c.Disponibilité
c.1Gestion
desincidents
etdes
attaques.
c.1.1Automatisationdelasurveillance(journauxdesaccèsetsurveillancedesincidents
oudesanomalies)pourlescouchessouslecontrôledel’organisation.
• L’infonuagiqueimpliqueunedivisiondesresponsabilitésentrel’organisationetsonfournisseurdeservices.Ilestdoncessentielquechacunedespartiesmetteenplacedesmécanismesdesurveillancepourlescouchesdel’infrastructurequisontsoussoncontrôle.Devantlenombregrandissantd’applicationsinfonuagiquesutiliséesparl’organisation,l’automatisationdelasurveillance,grâceàunCASB,devientcrucialpourminimiserleseffortsvisantàaccomplirceprocessus.
ü ü ü ü ü
c.1.2Centralisationdesinformationsliéesauxservicesinfonuagiques(nomdu
fournisseur,natureduservice,responsabilités,systèmesreliés,etc.)dansunrépertoire
afindepouvoirrépondrerapidementauxincidents.
• Lespersonnesquiutilisentlesservicesinfonuagiquesnesontgénéralementpaslespersonnesquis’occupentdeleurgestionoudeleursurveillanceetdelagestiondesincidents.Lacréationd’unrépertoirecentralisécontenantlesinformationssurlesservicesinfonuagiquesutilisésparl’entreprisepermetd’avoirrapidementtoutel’informationnécessairelorsd’unincident.LeCASBpeutservirderépertoiredesservicesinfonuagiques,àconditionqu’ons’assurequel’accèsàcerépertoiresoitbiengéréetoctroyéauxbonnespersonnesselonlespolitiquesdegestiondesaccès.
ü ü ü ü ü
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique(suite)
88
Objectifsdesécurité
Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS PublicPrivé(viauntiers)
d.Gouvernance
d.1
Surveillance
et
imputabilité.
d.1.1Suivietjournalisationdelacréation,delamodificationetdelasuppressionde
donnéesutiliséesparlesapplicationsinfonuagiques.
• Lesuiviestessentielpourdesraisonsdeconformitéetencasdepoursuitejudiciaire.Lajournalisationdesactionseffectuéessurlesdonnéespermetdegarderunetraceetd’assurerunecertaineimputabilité.LeCASBdoitsuivrelesdonnéesautraversdeleurcycledevie.
ü ü ü ü ü
d.1.2Journalisationdesconnexionsetdesautorisationsetdétectiondecomportements
anormaux.
• Celapermetdes’assurerdelaconformitéetdel’imputabilitélorsdel’utilisationdesservicesinfonuagiques.Lesjournauxpeuventêtreutilisésentantquepreuvelorsd’unlitigeouencorepourremonterlefildesévénementslorsd’unincident.Deplus,lejournaldesconnexionspermetdedécelerlesanomaliescomme,parexemple,lestentativesdeconnexionsmultiplesàuncompte.LeCASBdoitalimenterencontinucesjournaux.
ü ü ü ü ü
d.2
Conformité.
d.2.1Conformitéaveclaréglementationetlesnormesdesécuritédel’informationen
vigueurauCanada(ex:Loidelaprotectiondesrenseignementspersonnels,Loisurles
banques,etc.).
• L’industriedelafinanceetdel’assurancecanadienneesttrèsréglementéeetl’utilisationdesservicesinfonuagiquesdoitrespecterlesloisauxquellesl’entrepriseestassujettie.LesCASBpermettentd’opérationnaliserlesuivideslois,notammentgrâceàl’utilisationdegabaritsintégrés.Cesgabaritspermettentdes’assurerqueletraitementappropriéestappliquéauxdifférentescatégoriesdedonnéesselonlesstipulationsd’uneloispécifique.L’organisationn’aqu’àchoisirlegabaritassociéàlaloienquestionpourqueleCASBautomatiselaprotectiondesdonnéesenconséquence.UnCASButiliséparuneorganisationdudomainedelafinanceetdel’assuranceauCanadadoitavoirdesgabaritsdeloiscanadiennes.Sanscesgabarits,leCASBdoitêtreconfigurémanuellement,cequipeutexigerd’importantesressources.
ü ü ü ü ü
Tableau4.2:Requisdesécuritédel'organisationdansuncontexteinfonuagique(suiteetfin)
89
Objectifsdesécurité
Requisglobaux Requisspécifiques
Typedeservice Moded’implantation
SaaS PaaS IaaS PublicPrivé(viauntiers)
Requistechnologiques
e.Disponibilité
e.1Gestion
desincidents
etdes
attaques.
e.1.1Alertesentempsréelencasd’attaqueoud’anomalieetintégrationavecles
outilsducentredesurveillancedelasécuritédel’organisation.
• L’organisationdoitêtrerapidementaviséeencasd’attaqueoud’anomalie.Lesalertesdevraientêtreentempsréelafindepermettrederapidementmettreenplaceleplanderéponseauxincidentsetdelimiterlesimpactsnégatifs.Lecentredesurveillancedelasécuritéadéjàplusieursoutilsquiluipermetdefaireunsuividesévénementsdesécurité.LesalertesetlesmétriquesfourniesparleCASBdoiventdoncs’intégreràcellesdéjàenplaceaucentredesurveillancedelasécuritéquiestresponsabledelagestiondesincidentsetdelamiseenplaceduplanderéponse.
ü ü ü ü ü
f.Autresf.1
Intégration.
f.1.1Compatibilitéaveclescomposantesdel’architectured’entrepriseactuelle.
• Toutoutilassurantlasécuritédesservicesinfonuagiques,incluantlesCASB,doits’intégrerauxinterfaces,auxlogiciels,auxsystèmes,auxenvironnementsdedéveloppementetauxéquipementsinformatiquesdel’entrepriseafind’êtreaussitransparentquepossiblepourlesutilisateurs.
ü ü ü ü ü
f.1.2Intégrationaveclesmécanismesdesécurité(ex:logicieldegestiondes
événementsensécuritédel’information,logicield’authentificationunique,logicielde
gestiondesappareilsmobiles,pare-feu,etc.)déjàenplacedansl’organisation,sans
lescompromettre.
• LeCASBdoitpouvoirs’intégrerauxoutilsenplace,àmoinsqu’ilnepossèdedesfonctionssemblablesquipourraientluipermettrederemplacerl’outilexistant.
ü ü ü ü ü
f.1.3Déploiementlocal(etnonpasenmodeinfonuagique).
• Ledéploiementlocal,doncl’installationsurleslieuxdel’entreprise,estconsidérécommeplussécuritaireparcequ’iln’obligepasl’organisationàtransmettrelesdonnéesutiliséesparlesservicesinfonuagiquesaufournisseurdeCASB.L’organisationconserveainsilecontrôlesurcetaspectdesesdonnées.
ü ü ü ü ü
90
Dansl’espritdelaméthodologieRAD,letableauprécédentreprésentelepremierartefactvenant
répondre à la première question de recherche qui vise à comprendre quels sont les requis
fonctionnelsettechnologiquespourunCASButiliséauseind’uneentreprisedelafinanceetde
l’assurance. L’élaboration de cette grille de requis, tel que mentionné plus tôt, a nécessité
plusieursdiscussionsavecdifférentsspécialistesdel’organisation.L’analysedecesdiscussionsa
permisd’aborddefaireressortirlesprincipauxbesoinsensécuritédel’informationet,parlasuite,
cesbesoinsontpusetraduireenrequisfonctionnelsettechnologiques.Onrappellequeselonla
définitiondonnéeenintroductiondecemémoire,unbesoinestuneexigenceidentifiéecomme
étant manquante et nécessaire par l’organisation alors qu’un requis consiste en une
fonctionnalité ou une spécification technique pour un outil qui permet de combler le besoin
identifié. Ce sont ces requis, tels quedéfinis dans le cadrede l’organisationétudiée, qui sont
présentésdansletableauprécédent.
Autotal,toutefois,ilyadeuxgrandsbesoinsquisontressortisdetoutcetravail,soitlanécessité
decomprendrel’ampleurduphénomènedeproliférationdesapplicationsinfonuagiquesetdes
appareilsnonautorisésetlesbesoinsdechiffrementdesdonnéessensiblesdel’entreprise.Parmi
touslesbesoinsénoncés,cesontcesdeuxderniersquisontconsidéréscommeprioritairesetsont
ceuxauxquelsl’entreprisesouhaites’attaquerenpremier.D’autresbesoinsimportantssontaussi
ressortisdesdiscussionsetdel’analysedesrésultatsetilsfontpartiedutableau,notammentla
gestion des identités et des accès, la surveillance des applications infonuagiques et la
compatibilité des CASB avec les composantes de l’infrastructure. Les paragraphes qui suivent
abordentplusendétailslesdeuxbesoinsprioritaires,puislesautresbesoinsetcommentchacun
s’esttraduitenrequisspécifiquespourunCASB.
4.2.2.1LeshadowITLepremierbesoinprioritaire,celuid’évaluerlephénomènedushadowIT,proviententreautres
de l’offremirobolante d’applications SaaS sur le marché. Le shadow IT n’est pas nouveau ni
spécifiqueàl’infonuagique,maislenombregrandissantd’applicationsSaaS,disponiblessouvent
àpeudecoût,acontribuéàl’exacerber.Lafacilitéd’accèsauxapplicationsfaitensortequeles
employéspeuventfacilementomettredepasserparledépartementdeTIdel’organisationpour
télécharger une application (Lowans et al., 2016) oubienpeuvent y accéder par le biais d’un
91
navigateur web, toujours à l’insu du département de TI. Il est donc logique de souhaiter
inventorier l’utilisation de l’infonuagique avant de penser àmettre en place des contrôles de
sécurité(parexemple,unepolitiqued’utilisationdesservicesexternes)pourencadrersonemploi.
Eneffet,ilestimpossiblepouruneentreprisedepenseràcontrôlerunphénomènedontellene
connaîtmêmepasl’ampleuretdetenterdemettreenplacedesmécanismesdeprotectionsielle
ne connaît pas les applications utilisées par ses employés et leur contexte d’utilisation. Sans
visibilitésurl’utilisationdesapplicationsSaaS,l’entreprisenepeutanalyserleniveauderisque
associéàchacunedecesapplications,nepeuts’assurerdesaconformitéauxloisauxquelleselle
estassujettieetn’estdoncpasenmesureprendreunedécisionéclairéequantàleurutilisation.
Par conséquent, la mise en place de politiques concernant le shadow IT et de mécanismes
permettant de surveiller et de contrôler l’utilisation d’appareils non autorisés au sein de
l’organisationpassed’abordparuneévaluationdel’ampleurduphénomène.
UneautreconséquencedushadowITestjustementlaprotectiondesdonnéeséchangéesentre
les employés et les applications non autorisées. Ces applications ne bénéficient pas
nécessairementdesmêmescontrôlesetmesuresdeprotectionquecellesquisontautoriséespar
l’entreprise,cequilarendvulnérableauxfuitesouauxvolsdedonnées.Plusieursemployésont
l’habituded’utilisercertainesapplications infonuagiquespour leurusagepersonnel (Lowanset
al.,2016)etlesutilisentdoncdelamêmefaçonautravail,neréalisantpasqu’ilsexposentleur
employeuràdesrisquesdesécurité.L’organisation,desoncôté,nesaitpasquellesdonnéesse
retrouventdanscesapplicationsetperdlatraçabilitédesesdonnéesutiliséesdanscecontexte.
Ainsi, laprotectiondesdonnéestransitantpardesapplicationsnonautoriséesestardue.Pour
s’assurerde lesprotégercontre la fuiteou laperte, l’organisationaavantageà savoirquelles
donnéessonttransmisesàdesapplicationsinfonuagiques,d’oùl’importancedemettreenplace
desmécanismespermettantd’accomplircettetâche.
Unefoisquel’entrepriseaidentifiélesapplicationsinfonuagiquesutiliséesparsesemployés,un
desbesoinsquiendécoulerasera lacentralisationde lagestiondetoutescesapplications.En
effet, l’infonuagiqueoffreunevariétédeservicesquipermettentd’accomplirn’importequelle
tâchecorporative.Autrefois,uneentrepriseadoptaitunprogicieldegestion intégréequiétait
utilisé par tous les départements. À présent, grâce à son accès et à son implantation faciles,
l’infonuagiquepermetàchaquedépartementdepersonnalisersesTIetd’utiliserlesapplications
92
quicorrespondentdavantageàsesbesoins.Cettemultiplicationdesapplicationsrendleurgestion
parledépartementTIbeaucouppluscomplexe,puisqu’ilseretrouveàprésentàjongleravecdes
centaines d’applications plutôt qu’avec seulement une poignée. Dans un tel contexte, il est
importantdetrouverdesmoyenspourcentraliser lagestiondesservices infonuagiques.Cette
centralisation permet à l’organisation de mettre en place une gouvernance d’entreprise en
sécuritédel’information,d’êtreplusefficacedanssasurveillancedesservicesetplusproactive
encasd’incidentdesécurité.
Cebesoindes’attaquerauproblèmedushadowITdansl’organisations’esttraduitendeuxrequis
delasection«Confidentialité»duTableau4.2,soitleslignesa.2.5eta.2.6.Eneffet,leCASBmis
enplacedansl’entreprisedoitdétenirdesfonctionnalitésd’identificationdesapplicationsetdes
appareilsnonautorisés.Desurcroît,lesCASBontlepotentield’aideràrationaliserleseffortsde
gestionliésàlamultiplicationdesservicesinfonuagiquesutilisés.Ilsagissentcommeuneconsole
centrale de gestion où sont répertoriés les services utilisés et les événements de sécurité s’y
produisant. Cette vue d’ensemble permet d’appuyer la direction dans sa prise de décision et
d’êtreplusagiledanssagestiondesservicesinfonuagiques.
4.2.2.2 Le chiffrement des données utilisées dans un environnementinfonuagiqueMisàpartlapriseenchargeduproblèmedeshadowIT,lesecondgrandbesoinprioritairequ’a
formulé l’entreprise à l’étude est la nécessité de chiffrer les données utilisées dans
l’environnementinfonuagique.Lagrilleprécédenteprésenteplusieursrequisliésauchiffrement
(a.2.1 à a.2.4 et b.1.1) parce que lorsqu’il est fait au niveau de la donnée, il représente un
mécanismedeprotectiontrèspuissant. Ilempêchetoutepersonnenepossédantpas lacléde
voir la donnée en texte brut, incluant les employés du fournisseur ou les autres clients qui
partagent les ressourcesdecedernier. Lacryptographieestundomainecomplexeet ilexiste
actuellementplusieursprotocolesdifférentsdechiffrement.Ilconvientdoncdebiens’informer
surlespratiquesd’unfournisseurdanscedomaineavantdesigneruncontrataveccelui-ci;par
exemple,demanderquelalgorithmedechiffrement ilutilise,comment ilassure lagestiondes
clésetoùcelles-cisontstockées.
93
Lespolitiquesassociéesauchiffrementvarierontselonlesprincipesdegouvernancemisenplace
auseindel’organisation,lavaleuretlaclassificationdesdonnées.Cependant,selonlesmeilleures
pratiquesprônéesparleNISTetlaCSA,lesdeuxorganismesrecommandenttousdeuxdechiffrer
lesdonnéesàlasource,avantdelesenvoyerverslefournisseurdeservicesinfonuagiques,puis
de s’assurer que le fournisseur n’ait pas accès aux clés de chiffrement pour protéger la
confidentialitéetl’intégritédesdonnées(Badgeretal.,2014;CloudSecurityAlliance,2011).Cela
n’est malheureusement pas toujours possible, surtout dans les cas d’applications SaaS qui
peuventnécessiterquelefournisseuraitaccèsauxdonnéesnonchiffréespourquel’application
puisse en faire le traitement (Rizvi et al., 2014). Pour contrer cela, une solution appelée
chiffrementhomomorphiqueaétéproposée(DoreyetLeite,2011;Hashizumeetal.,2013;Tebaa,
ElHajjietElGhazi,2012).Cettetechniquepermetderéaliserdesopérationscommel’additionou
lamultiplicationsansavoiràdéchiffrerlesvariables,alorsquelerésultatdel’opérationsorten
texte brut (non chiffré). Les données n’ont donc pas à être déchiffrées pour être traitées.
Malheureusement,cetteapprocheestthéoriquementpossible,maisenpratique,ellen’estpas
applicable.Ellerequiertunepuissancedecalculbeaucouptropélevéepourêtreviabledansun
contexteorganisationnel(Naone,2011).Enconséquence,lesentreprisesquisouhaitentchiffrer
leursdonnéesdoiventfairelecompromisdepartagerlesclésaveclefournisseurpourqu’ilpuisse
traiterlesdonnéespendantqu’ellessontutiliséesdansl’applicationoulorsqu’ellessontaurepos.
Pourcequiestdesdonnéesentransitduclientverslefournisseurouvice-versa,ellesdoivent
toujoursêtrechiffréespour lesprotégeraucasoùelles seraient interceptées (requisa.2.2du
tableauprécédent).Lechiffremententransitestpossibleetilexiste,depuisplusieursannées,des
protocoleséprouvéspourlefaire(PaaretPelzl,2009).
Onconstatedoncque,mêmesiuneorganisationsouhaitaitappliquerlechiffrementàtoutesses
données,peuimporteleurétat,latechnologien’estpasencoreàpoint,cequilimitelesefforts
en ce sens. Les CASB, grâce à leur objectif de sécurité des données permettent de chiffrer
certainesdonnées,entransitouaurepos,selonlespréférencesdel’entreprise.Pourcetteraison,
lebesoindechiffrements’esttraduitenplusieursrequispourunCASB.
94
4.2.2.3Autresbesoinsnon-prioritairesetlesrequiscorrespondantsOutrelesdeuxgrandsbesoinsdepriseenchargeduphénomènedeshadowITetdechiffrement
des données, d’autres besoins moins prioritaires en sécurité infonuagique sont ressortis de
l’étudeetdeceux-ciontdécoulédifférentsrequispourunCASB.Parmiceux-ci,ilyalagestion
desidentitésetdesaccès,lasurveillanceetlacompatibilité.Lagestiondesidentitésetdesaccès
Lepremierbesoinnon-prioritaire,lagestiondesaccèsetdesidentitésestunprocessuscentral
auxorganisations.LesrequisassociésàcebesoinseretrouventaudébutduTableau4.2,soitaux
lignesa.1.1àa.1.4.
Legranddéfiengestiondesidentitésestdecréerunidentifiantparutilisateurquiluipermettent
d’accéderàtouteslesapplications,lesplateformesetlessystèmesdontilabesoinpouraccomplir
sontravail.L’utilisationd’unidentifiantuniqueàtraverscessystèmess’appellelafédérationdes
identités et elle permet non seulement de faciliter la vie de l’utilisateur,mais aussi celle des
responsables de la gestion des identités. Considérant lamultiplication des applications due à
l’essorde l’infonuagique, la fédérationdes identitésestdevenueessentiellepour simplifier le
processusdegestiondesidentitésetdesaccès(requisa.1.1dutableauprécédent).Ellesefait
généralementàl’aidedelogicielsspécialisésqui,jumelésauserviced’annuairedel’organisation,
permettent aux utilisateurs de ne s’identifier qu’une seule fois au début de leur session de
navigationparexemple.
Unautreconcepttrèsimportantliéàlagestiondesidentitésestlecontrôledesaccèsbasésurle
rôle(Role-basedAccessControlouRBAC,décritàlalignea.1.4).Ilpermetlacréationdegroupes
quisonttousliésàunrôledansl’organisation.Pourchacundesgroupes,onluiattribuelesaccès
requis pour accomplir le travail. Disons, par exemple, qu’on crée un groupe « Ventes ». On
associeratouteslesapplicationsutiliséesparlesgensdudépartementdesventesàcegroupe.
Ensuite,onajouteradesmembresàcegroupe,soitlesvendeurs.Àchaquefoisqu’unnouveau
vendeurestembauché,onn’auraqu’àl’ajouteraugroupe«Ventes»plutôtquedepasseren
revuelalistedesapplicationsutiliséesparlesvendeursetdeluiaccorderlesaccèspourchacune.
LeRBACpermetdesauverdutempsetderéduirelenombred’erreursd’accèspourchacundes
95
employés. Le CASB qui permet le RBAC peut plus facilement gérer l’accès aux applications
infonuagiquesetauxdonnéesassociéesgrâceàl’utilisationdecesgroupesd’utilisateurs.
Lasurveillancedesapplicationsinfonuagiques
Ensuite,ilyalasurveillancequin’estpasspécifiqueàl’infonuagique,maisquis’appliqueàtous
les services impartis à des tierces parties. Néanmoins, la multiplication des systèmes et des
applicationsquiaétéévoquéeprécédemmententraîneavecelleuneaugmentationdunombre
dejournauxd’activitésproduitsparchacunedesapplications.Cesjournauxsontgénéralement
fournisàl’organisationclienteàunefréquencedéterminéedanslecontrat,maisparfois,certains
fournisseurs de services d’infonuagique publique refusent de distribuer les journaux à leurs
clients, de peur de compromettre l’information des autres clients qui partagent la même
infrastructure. Si, par contre, le fournisseur partage ses journaux, l’organisation doit avoir les
ressources nécessaires pour analyser ces données afin d’en déceler les événements liés à la
sécuritéetd’yapporterlescorrectifsnécessaires.Or,àcausedelaquantitédedonnéesquecela
représente, peu d’entreprises ont réellement lamaturité et la capacité de surveiller tous les
servicesinfonuagiquesqu’ellesutilisent.Illeurfautdoncunmoyend’automatiserleprocessusde
surveillance afin de récupérer rapidement les journaux, de les analyser afin d’en tirer des
indicateurs de sécurité pertinents, de créer des tableaux de bord et d’avoir des alertes
automatiquesencasd’incident.Cebesoins’esttraduitenplusieursrequisliésàlasurveillance
qui sontdécritsaux lignesc.1.1,d.1.1,d.1.2ete.1.2du tableau4.2.Ces requispourunCASB
permettraient à l’organisation d’être beaucoup plus agile et proactive dans sa gestion de la
sécurité, surtout considérantque les incidentsqui ne sontpasdétectéset traités rapidement
peuventavoirdesconséquencesgravespourl’entreprise.
Lacompatibilité
Endernierlieu,lacompatibilitéestunbesoinessentiellorsqu’ilestquestiondel’infonuagique.En
effet,unemajoritéd’organisationsadéjàdesoutilsdesécuritéenplaceetlesnouveauxservices
devraient s’intégrerà ceux-cipouréviterdedupliquer leseffortsetdecréerdes silospour la
sécurité de chaque service utilisé. En plus d’être contre-productif, cela est coûteux et va à
l’encontredesprincipesdeflexibilitéetderapiditéàlabasedel’infonuagique.LesCASBdoivent
donc être compatibles avec lesmécanismes de sécurité déjà présents dans l’entreprise pour
faciliterleséchangesd’informationsentreeux(requisf.1.2).
96
Enconclusiondecettesection, lesdeuxbesoinsprédominantsetprioritairesquiressortentde
l’étude sont la gestion du shadow IT et le chiffrement des données utilisées par les services
infonuagiques.Au-delàdecesdeuxéléments,lagestiondesaccèspermetdes’assurerqueseules
lespersonnesautoriséesontaccèsauxdonnéesnécessaires,quecesoitducôtédufournisseur
ou du client. Ensuite, la coopération entre l’organisation cliente et le fournisseur de services
infonuagiquesest aussi essentielle afinde s’assurerque toutes les couchesde l’infrastructure
sous-jacente au service font l’objet d’une surveillance et que chacun connaît son rôle et ses
responsabilités.Finalement,lacompatibilitéentrelesdifférentsservicesinfonuagiquesdemeure
unélémentessentielpourfaciliterl’adoptiondesservices,obteniruneplusgrandeflexibilitéet
permettre les échanges de données entre les services. Ces besoins ont permis d’identifier
différentsrequisfonctionnelsettechnologiquespourunCASBdanslecontextedel’organisation
àl’étude.Cesrequis,exposésdansleTableau4.2,représentent,pourl’organisation,unpremier
pasdanssa réflexionsur l’infonuagiqueet lesmoyensnécessairespourassurersonutilisation
sécuritaire.L’étapesuivanteconsisteàs’informersurl’offreactuelle,puisdes’interrogersurla
façondontellepeutcomblerlesrequisidentifiés.
4.3L’offreactuelledesfournisseursdeCASBEnparallèleàl’analysedesrequisorganisationnels,uneanalysedel’offreactuelleaétéeffectuée
danslebutderépondreàlasecondequestionderecherche.Cettedernièrevisaitàinventorier
les fonctionnalités et les caractéristiques des produits sur le marché. Les prochains tableaux
dressent cet inventaire. En premier lieu, le «Market Guide » publié par Gartner et certains
rapportsdeForresterontservidebasepourétablirlalistedesproduitsdisponiblessurlemarché,
soitenvironunevingtainedefournisseurs.Decetteliste,seulslesCASBoffrantdesfonctionnalités
d’aumoinsdeuxdesquatrefamillesd’objectifs(lavisibilité,lagouvernanceetlaconformité,la
protectiondesdonnéesetlaprotectioncontrelesmenaces)ontétéretenus.Eneffet,leCASBest
actuellement unmot à lamode dans l’industrie TI et plusieurs fournisseurs semblent vouloir
profiter de l’intérêt que suscite cette classe d’outils pourmousser leurs ventes. Il était donc
importantdefaireuntrietderetirercertainsproduitsquinesemblaientpasvraimentfairepartie
delaclassedesCASB,maisquiserévèlentplutôtêtredeslogicielsdesécuritéquitententdese
97
fairepasserpourunCASB.Suiteàcetri,douzefournisseursontétéretenusafindeprocéderà
uneanalyseplusapprofondiedesfonctionnalitésdeleurproduit.
Pourcollecterl’informationsurlesproduitsetlesfournisseurs,lessiteswebdecesderniers,des
articles de presse et des rapports des firmes Gartner et Forrester ont été consultés. La liste
complètedesréférencesestdisponibledansunesectionàpartetidentifiéecommetelledansla
bibliographie à la fin de ce mémoire. De plus, des appels et des démonstrations avec deux
fournisseursontétéorganisésetdescourrielsontétééchangésavecdeuxautrespourobtenir
desprécisionssur leursproduits.Lesommairedesrésultatsdecettecollected’informationse
retrouve au Tableau 4.3. Ce dernier présente les fournisseurs de solutions CASB par ordre
alphabétiqueetincluentunebrèvedescriptiondel’entreprise,desfonctionnalitésoffertesparle
CASBetfinalement,s’ilyalieu,l’historiquedesacquisitionspard’autresjoueursdumilieu.
Par la suite, le Tableau4.4présente cesmêmes fournisseurs selon les fonctionnalités de leur
produitCASB. Les fonctionnalités sontdiviséesd’abord selon lesobjectifs globauxde sécurité
présentés tout au long du mémoire soit la confidentialité, l’intégrité, la disponibilité et la
gouvernance.Ensuite,cescatégoriessontdiviséesselonlesquatregrandsobjectifsdesécurité
des CASB présentées dans la revue de la littérature (Chapitre 2) : la visibilité, la sécurité des
données, la protection contre les menaces et, la conformité et la gouvernance. Cette
catégorisationpermetd’étendrel’examendesCASBsurlemarchéàlasuitedesdiscussionsdéjà
présentes dans la littérature et présentées au Chapitre 2. Les fonctionnalités reprennent les
termesutilisésparlesfournisseursdeCASBdansladocumentationliéeàleursproduits.
Finalement,leTableau4.5reprendlamêmestructurequeletableauprécédent,maiscettefois-
ciaveclescaractéristiquesduproduitplutôtquesesfonctionnalités.Parmilescaractéristiques,
onretrouvelemodededéploiement,leslogicielsprotégésparlesdifférentsmodulesduCASBet
leslogicielsdel’organisationquisontcompatibles.
Ilestimportantdespécifiericiquelebutdel’exercicen’estpasdefairelapromotiondel’unou
l’autredesproduitsprésentés,maisplutôtdecomprendrel’étatactueldumarché.Ilestànoter
quel’informationcontenuedanslesTableaux4.3,4.4et4.5estàjourendatedu19août2016,
soitlafindel’interventionenentreprise.
98
Tableau4.3:SommairedesfournisseursdeCASBetdeleursprincipalescaractéristiquesb
Fournisseur Descriptionetcaractéristiques
Bitglass
• Entrepriseaméricainefondéeen2013etsituéeenCalifornie.• Offredesfonctionnalitésdevisibilité,degouvernance,desécuritédesdonnéesetdeprotection
contrelesmenaces.• Satechnologiedechiffrementestbrevetéeetpermetd’exécutercertainesopérationsde
recherchesurdesdonnéeschiffrées.
BlueCoat(Elastica)
• Elasticaestunefirmefondéeen2012enCalifornie.• En2015,BlueCoatafaitl’acquisitiondedeuxfournisseursdeCASB,PerspecsysenjuilletetElastica
ennovembre(Wright,2015).ElasticaestdemeuréunproduitàpartentièrealorsquelatechnologiedechiffrementdéveloppéeparPerspecsysaétéintégréedansl’offredeproduitsdesécuritédeBlueCoat.
• Enjuin2016,BlueCoataétéachetéparl’entreprisedecybersécuritéSymantecquin’apasencoredévoilésavisionpoursonproduitdetypeCASB(Baker,2016).
• Elasticaoffredesfonctionnalitésdevisibilité,degouvernanceetdeprotectioncontrelesmenaces,maisn’offrepaslechiffrementdesdonnées.
CensorNet
• Entreprisebritanniquefondéeen2007etquioffreunCASBdepuis2015.• SonCASBpermetl’identificationdesapplicationsinfonuagiques,certainesfonctionnalitésde
gouvernanceetdeprotectioncontrelesmenaces.• ContrairementauxautresCASB,CensorNetnesevendpasparmodulesspécifiquespour
différentesapplications.Sasolutionseveutuniversellepourtouteslesapplicationsinfonuagiques,maisleniveaudeprotectionestparconséquentpluslimité.
CipherCloud• Entrepriseaméricainefondéeen2010.• SonCASBoffredesfonctionnalitésassociéesauxquatreobjectifsdesCASB,incluantlechiffrement
desdonnées.
CloudLock• CloudLockaétéfondéeen2011auMassachusetts.• Enaoût2016,Ciscoaannoncél’acquisitiondeCloudLockpourlasommede293millionsdedollars
américains(ClarketLaryea,2015).• CeCASBoffredesfonctionnalitésremplissantchacundesquatreobjectifsdesécurité.
FireLayers
• EntrepriseaméricainequioffreunCASBdepuis2014.• LeproduitoffertparFireLayersoffredesfonctionnalitéslimitéesdevisibilitéetdeprotection
contrelesmenacesetdesfonctionnalitéscomplètesdegouvernance.Ellen’offrecependantpasdechiffrement.
• Ladocumentationdisponiblesurceproduitestlimitéeetmalgrédescourrielsenvoyésaufournisseur,ilaétéimpossibled’obtenirlalistedesapplicationsprotégéesparsonCASB.
Imperva• Impervaestuneentreprisedesécuritéfondéeen2002.ElleoffreunCASBdepuis2013grâceà
l’acquisitiondeSkyfencequiétaitspécialisédansledomaine.• LeCASBoffredesfonctionnalitésliéesàtouslesobjectifsdesécurité,saufpourlasécuritédes
donnéespuisqu’iln’offrepaslechiffrement.
MicrosoftCloudApp
• AutrefoisappeléAdallomavantl’achatdelacompagniedumêmenomparMicrosoften2015.• LeCASBoffredesfonctionnalitésdevisibilité,degouvernanceetdeprotectioncontreles
menaces,maispasdechiffrement.
bRéférences:voirlasectionspécifiquedelabibliographie.
Tableau4.3SommairedesfournisseursdeCASBetdeleursprincipalescaractéristiques(suiteetfin)
99
Fournisseur Descriptionetcaractéristiques
Netskope• EntreprisefondéeenCalifornieen2012.• LesfonctionnalitésdesonCASBremplissentlesquatreobjectifsdesécurité.Lechiffrementdes
donnéesn’estpasoffertdanslelogicieldebaseetdoitfairel’objetd’unachatséparé.
Palerra• Entrepriseaméricainefondéeen2013.• SonproduitCASBs’appelleLoricetoffredesfonctionnalitésdevisibilité,degouvernanceetde
protectioncontrelesmenaces.
PaloAltoNetworks
• Entreprisefondéeen2005etquioffreplusieursproduitsdesécuritédontunCASB.• SonCASBoffredesfonctionnalitéslimitéespourlesobjectifsdevisibilité,degouvernanceetde
protectioncontrelesmenaces.Iln’offrepaslapossibilitédechiffrerlesdonnées.
SkyhighNetworks
• Entrepriseaméricainefondéeen2013quioffreunCASBdepuis2013.• LesfonctionnalitésoffertesparsonCASBcouvrenttouslesobjectifsdesécurité,sauflasécurité
desdonnéespuisqu’ilnepermetpaslechiffrement.
100
Tableau4.4:FonctionnalitésoffertesparlesCASBactuellementsurlemarchéc
Objectifsde
sécurité
ObjectifsdesCASB
Fonctionnalités
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
PaloAlto
Networks
Skyh
igh
Networks
a.Con
fiden
tialité
a.1Visib
ilité
a.1.1Identificationd'applicationsinfonuagiques. ü ü ü ü ü ü ü ü ü ü ü ü
a.1.2Évaluationdesrisquesassociésauxapplicationsinfonuagiquesutilisées(échellederisquepourchaqueapplicationselondescritèresprédéfinis).
ü ü Ñ ü ü Ñ ü ü ü ü Ñ ü
b.Con
fiden
tialitéetintégrité
b.1Sécuritéde
sdon
nées
b.1.1Analysedesdonnéespourenidentifierletype. ü ü ü ü ü ü ü ü ü Ñ ü ü
b.1.2Chiffrementbasésurlaclassificationdesdonnées. ü Ñ Ñ ü ü Ñ Ñ Ñ ü
(optionnel) Ñ Ñ Ñ
b.1.3Chiffrementpermettantdesactionsàhautniveausurlesdonnées(tri,recherche,etc.).
ü Ñ Ñ ü Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ
b.1.4Gestiondesclésdechiffrement. ü Ñ Ñ ü Ñ Ñ Ñ Ñ ü(optionnel) Ñ Ñ Ñ
cRéférences:voirlasectionspécifiquedelabibliographie.
Tableau4.4:FonctionnalitésoffertesparlesCASBactuellementsurlemarché(suiteetfin)
101
Objectifsde
sécurité
ObjectifsdesCASB Fonctionnalités
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
PaloAlto
Networks
Skyh
igh
Networks
c.Disp
onibilité
c.1Protectio
ncontrelesm
enaces c.1.1Analyseducomportementdes
utilisateurs. ü ü ü ü ü ü ü ü ü ü ü ü
c.1.2Identificationdesactivitésanormalesetalertes. ü ü ü ü ü ü ü
(optionnel) ü ü ü ü(optionnel) ü
c.1.3Refusd'accèsautomatiqueauxapplicationsouappareilsnonautorisés.
ü ü ü ü Ñ Ñ ü ü ü Ñ ü ü
d.Gou
vernan
ce
d.1Co
nformité
etg
ouvernan
ce
d.1.1ConformitéauxloiscommeCIPA,HIPAA,PCI,etc.grâceàdesgabaritsintégrés.
ü ü Ñ ü ü ü ü ü Ñ ü Ñ ü
d.1.2Conformitéauxloiscanadiennesgrâceàdesgabaritsintégrés.
Ñ Ñ Ñ Ñ Ñ Ñ Ñ ‒ Ñ Ñ Ñ Ñ
d.1.3Possibilitéd'implanterlespolitiquesdegouvernancepersonnalisées(plutôtqu’ungabarit).
ü ü ü ü ü ü ü ü ü ü ü ü
d.1.4Créationdejournauxsurl'utilisationdesapplicationsinfonuagiques.
ü ü ü ü ü ü ü ü ü ü ü ü
Légendedutableau4.4:
ü:lasolutionpossèdelafonctionnalité.Ñ:lasolutionnepossèdepaslafonctionnalité.‒:l’informationsurcettefonctionnalitén’estpasdisponible.(optionnel):lafonctionnalitén’estpasdisponiblepourlelogicieldebase,maispeutêtreacquisemoyennantdesfraissupplémentaires.
102
Tableau4.5:CaractéristiquesdesCASBactuellementsurlemarchéd
Caractéristiques Caractéristiquesspécifiques
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
Pa
loAlto
Networks
Skyh
igh
Networks
a.Lo
gicie
lsspécifiqu
es
protégés
(mod
ulesdisp
onibles) a.1Box ü ü Ñ ü ü ü ü ü ü ü ü ü
a.2Dropbox ü ü Ñ Ñ ü ü ü ü ü Ñ ü üa.3GoogleApps ü ü Ñ Ñ ü ü ü ü ü ü ü üa.4MicrosoftOffice365 ü ü Ñ Ñ ü ü ü ü ü ü ü üa.5Okta ü Ñ Ñ Ñ ü ü ü ü Ñ Ñ Ñ Ña.6Salesforce ü ü Ñ ü ü ü ü ü ü ü ü üa.7ServiceNow Ñ Ñ Ñ ü ü ü Ñ ü Ñ ü Ñ üa.8Slack Ñ Ñ Ñ Ñ ü Ñ Ñ Ñ Ñ Ñ Ñ Ña.9Workday Ñ Ñ Ñ Ñ Ñ Ñ ü Ñ Ñ Ñ Ñ Ñ
b.Com
patib
ilitéavecleslogicie
lsde
l’organisatio
n30
b.1Logicieldeprotectioncontrelapertedesdonnées(DLP). ü ü Ñ ü ü ü ü Ñ ü Ñ Ñ ü
b.2Gestionnaired’appareilsmobiles(MDM).
Ñ ü Ñ Ñ ü ‒ ü Ñ Ñ Ñ Ñ ü
b.3Serviced’annuaire(ActiveDirectory). ü ü ü ü ü ‒ ü ü ü ü Ñ ü
b.4Gestionnaired’informationetd’événementsdesécurité(SIEM).
Ñ ü Ñ ü ü ‒ ü ü ü ü Ñ ü
b.5Logicield’authentificationunique(SSO). ü ü ü ü ü ‒ ü ü ü ü Ñ ü
dRéférences:voirlasectionspécifiquedelabibliographie.
30Ilaétédifficiled’obtenirdel’informationsurleslogicielsexactsquisontcompatiblesavecleCASB,malgrélesrencontresetlescourrielsenvoyésauxfournisseurs.UncrochetindiquequeleCASBestcompatibleavecaumoinsunlogicieldutypementionné,sansdistinctionpourleconcepteurdulogiciel.
Tableau4.5:FonctionnalitésdesCASBactuellementsurlemarché(suiteetfin)
103
Caractéristiques Caractéristiquesspécifiques
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
Pa
loAlto
Networks
Skyh
igh
Networks
c.M
odesde
déploiem
ent c.1Vial’interfacede
programmation(API)ü ü Ñ ü ü ü ü ü ü ü ü ü
c.2Parproxy ü ü ü ü Ñ ü ü Ñ ü Ñ Ñ ü
Légendedutableau4.5:
ü:lasolutionpossèdelafonctionnalité.Ñ:lasolutionnepossèdepaslafonctionnalité.‒:l’informationsurcettefonctionnalitén’estpasdisponible.(optionnel):lafonctionnalitén’estpasdisponiblepourlelogicieldebase,maispeutêtreacquisemoyennantdesfraissupplémentaires.
104
Lestableauxprécédentsdonnentunaperçudel’étatactueldumarchédesCASBenrépertoriant
les fonctionnalitéset lescaractéristiquesdesproduitsd’unedouzainede fournisseurs.Afinde
mieuxanalysercetteoffre, ilconvientàprésentdesepenchersurchacunedessectionsdece
tableau.
4.3.1VisibilitéD’abord,lasection4.2.2présentantlesrequisdesécuritédel’organisationàl’étudemontrebien
lebesoindel’organisationdecernerleproblèmedesappareilsetdesapplicationsnonautorisés
afind’établirdespolitiquescohérentesentermesdegouvernancedelasécurité.Cebesoinest
loind’êtreuniqueàl’organisationétudiée.Eneffet,unrapportparul’andernierestimequ’une
entreprisedudomainedelafinanceutiliseenmoyenneunmillierd’applicationsinfonuagiques31
(Skyhigh Networks, 2015). De ce nombre, seulement une soixantaine d’applications seraient
connues du département TI de l’organisation. Ce besoin de connaître les applications SaaS
utiliséesparlesemployéspeutêtrecombléparlesCASB.D’ailleurs,lesfournisseursdecesoutils
fontdeleursfonctionnalitésdevisibilitéundeleursargumentsdeventelesplusimportants.Tous
les produits considérés dans le cadre de ce mémoire offrent un module d’identification des
applicationsinfonuagiques,généralementvenduséparémentdesautresmodulesdeprotection
offerts par le même fournisseur (fonctionnalité a.1.1 du tableau 4.4). Pour faire cette
identification,ilsrécupèrentlesjournauxdeconnexionetd’activitésproduitsparlespare-feuet
lesproxysdel’organisationetenfontensuiteuneagrégationpuisuneanalyse(Microsoft,2016c).
Letoutestprésentédansuntableaudebordavecdesstatistiquessurlenombred’applications
utilisées,l’identitédesutilisateursetlesdatesd’accès.
Certains CASB offrent aussi la possibilité d’évaluer le niveau de risque associé à chacune des
applicationsinfonuagiquesquiestutiliséeenétablissantunscoresurcent(fonctionnalitéa.1.2
duTableau4.4).Ceniveauderisqueestbasésurdescritèresprédéterminésparlefournisseur
(ex:réputationduconcepteur,nombredebrèchesdéceléesdansunepériodedonnée,etc.)ou
bien,danscertainscas,pardescritèrespersonnalisablesparleclient.Ainsi,uneentreprisequi
met en place un CASB peut rapidement voir quelles sont les applications utilisées par ses
31Cesapplicationsnesontpasnécessairementtoutesautoriséesparl’organisationetincluentcellesutiliséesparlesemployésdeleurpropreinitiative.
105
employéset,parlasuite,prendreladécisiondelesautoriserounonselonleniveauderisque
qu’elleestprêteàtolérer.Cettefonctionnalitépermetaussidevoirquelsappareilslesemployés
utilisentpouraccéderauxapplicationsinfonuagiquesetdoncderepérerfacilementceuxquisont
non autorisés. L’utilisation d’appareils non autorisés crée un grand risque d’introduire des
programmesmalveillantsoud’autresmenacesdansleréseaulocaldel’organisation.Pourcette
raison,lesentreprisessouhaitentgénéralementbloquerl’accèsàcesappareils,cequipeutêtre
accompliautomatiquementparlamajoritédesCASB(sectionc.1duTableau4.4).D’autrepart,
pourprotégerlesdonnées,certainsCASBpeuventplutôtbloquerl’accèsàcertainsdocumentsou
types de données qui sont accédés par des appareils non autorisés, limitant ainsi les risques
associésàlaconfidentialitédesdonnées.Àtitred’exemple,leCASBpourraitempêcherlesaccès
auxdossiersfinanciersdesclientspourlesutilisateursquiseconnectentàl’applicationSalesforce
àpartird’unappareilmobilepersonnelnonautorisé.LesfonctionnalitésdevisibilitédesCASB
permettentdoncdenonseulementsavoirquellesapplicationsetquelsappareilssontutiliséspar
lesemployésd’uneentreprise,maisaussidel’aideràmettreenplaceuncadredegouvernance
pourl’utilisationdecesapplicationsetdecesappareils.
4.3.2SécuritédesdonnéesLa seconde catégorie de fonctionnalités est la protection des données, ce qui comprend
principalementlechiffrement(fonctionnalitésb.1.2àb.1.4duTableau4.4).Cenesontpastous
lesCASBquioffrentdesfonctionnalitésdechiffrementetlaminoritéquil’offrenelefaitquepour
certaines applications pour lesquelles unmodule spécifique existe (voir la section a. Logiciels
spécifiques protégés du Tableau 4.5). Tel que mentionné précédemment, le chiffrement des
donnéesaureposdanslesapplicationsestpossible,maisencoreendéveloppementpuisqu’ilne
permetpasdefairedescalculs,destrisoudesrecherchessansdevoirdéchiffrerlesdonnéesau
préalable.Unedes solutionsàceproblèmeetquipermetdeconserverunniveaudesécurité
acceptableestlechiffrementhomomorphique(Yietal.,2014).Parcontre,cetteapprochen’apas
encored’applicationpratiqueparcequelapuissancedecalculrequisepourlamettreenplaceest
beaucoup trop grande et exigerait des délais très grands (Naone, 2011). Les limites dans la
capacitédechiffrementfreinentdoncledéveloppementdesCASBactuellementsurlemarché.
Malgré tout, certains fournisseursannoncentqu’ilspossèdentune technologiedechiffrement
permettantdetraiterlesdonnéeschiffrées.Toutefois,lorsqu’ons’ypenche,onserendcompte
106
que c’est très généralement audétriment de la sécurité qu’ils le font. En effet, ils utilisent le
stratagèmequiestdécritci-après.
Ainsi,unedesfaçonsdontlesfournisseursdeCASBs’yprennentpourcontournerleproblème
desopérationssurlesdonnéeschiffréesestdenechiffrerqu’unepartiedesdonnées,conservant
leresteentextebrut.C’estcequefaitundesfournisseursdeCASB,CipherCloud,quinechiffre
qu’unepartiedesdonnéesafindeconserverlapossibilitédefairedesrecherchessurlesdonnées
(CipherCloud,2015).Ainsi, supposonsqu’onsouhaitechiffrerdesnumérosde téléphonedans
uneapplicationquelconque, leCASBdeCipherCloudpourraitnechiffrerque lesseptderniers
chiffresetlaisserl’indicatifrégionalentextebrut.Ilseraitalorspossiblederechercherfacilement
parmi les numéros de clients qui habitent une certaine région, grâce à l’indicatif régional.
Évidemment, cette technique de chiffrement partiel estmoins sécuritaire que le chiffrement
intégraldesdonnées.
Ilexisteunepistedesolutionauproblèmederechercheetdetriparmilesdonnéeschiffréeschez
unfournisseurquin’impliquepaslechiffrementhomomorphique.Eneffet,unautrefournisseur
deCASB,Bitglass,amisaupointetafaitbreveterunenouvelletechnologiedechiffrementqu’il
a ensuite intégré à son CASB. Cette technologie fait en sorte que, lorsque les données sont
chiffréesavantd’êtreenvoyéesdanslabasededonnéesdufournisseur,unindexavecdesmots-
clésestcréépourchacunedesdonnées.Pourreprendrel’exempledesnumérosdetéléphone,
supposonsque lenumérodetéléphonesaisidans lechampde l’applicationpossède l’indicatif
régional«514».Lorsdelasauvegardedunumérodetéléphone,leCASBcréeunindexavecles
motsclés«numérodetéléphone»et«Montréal».L’indexdemots-cléseststocképarleCASB,
ducôtédel’organisationclienteetnonpaschezlefournisseur.Cetindexn’estpaschiffré,maisil
necontientpaslesvraiesdonnéesdel’organisation,seulementdesmots-clésetiln’estpasnon
plus accessible au fournisseur. Les données chiffrées, accompagnées d’un « pointeur », sont
ensuitestockéeschezlefournisseurdeservicesinfonuagiques.Cepointeurpermetderetrouver
laoulesdonnéesassociéesàunmot-cléspécifique.Donc,lorsqu’unutilisateurfaitunerecherche
parmilesdonnéeschiffréesd’uneapplication,leCASBbalaiel’indexdemots-clésafindetrouver
ceuxquicorrespondentauxtermesderecherchequ’aentrésl’utilisateur.Lorsqu’unmot-cléest
rencontrépendantl’analyseduCASB,celui-cicherchelepointeurassociéàladonnéeenquestion
etdéchiffreladonnée(Kahol,BhattacharjyaetKausik,2013).Dansnotreexemple,sil’utilisateur
107
souhaite chercher lesnumérosde téléphonesde la régiondeMontréal, leCASBn’auraitqu’à
chercher parmi les index les mots-clés référant aux termes de recherche de l’utilisateur. Les
pointeursassociésàcesmots-cléspermettraientensuitederécupérerlenumérodetéléphone
enquestiondans la basededonnéesdu fournisseur, le déchiffrer puis l’afficher l’application.
Ainsi, le numéro de téléphone au repos dans la base de données du fournisseur de services
infonuagiquesestrestéchiffréentouttemps.
Ilestdifficiledesavoirsicettefaçondefaireestefficaceenpratiquepuisqu’iln’apasétépossible
d’avoirunedémonstrationdecetteméthodedechiffrementoudetrouverdel’informationdela
partd’uneorganisationquil’utilise.Onpeutsupposercependantquecettetechniquecausedela
latenceparcequeleCASBdoitfairequelquesopérationssupplémentairespourrechercherdans
l’indexetensuitedanslesdonnéeschezlefournisseuravantd’afficherunrésultatderecherche.
Il agit donc comme un intermédiaire additionnel entre l’utilisateur et le fournisseur, ce qui a
généralement tendance à causer des délais supplémentaires pour le traitement des données.
Pourl’instant,BitglassestlaseulesolutiondeCASBquipermetdefairedesrecherchesparmides
données chiffrées grâce à cette technologie puisqu’elle en détient le brevet. Les autres
fournisseurs,n’ayantdoncpasaccèsauchiffrementavecunindex,doiventsecontenterd’utiliser
soit un chiffrement édulcoréoubien tout simplementdenepasoffrir la rechercheparmi les
donnéeschiffrées.
4.3.3ProtectioncontrelesmenacesLa troisième catégorie, la protection contre les menaces, est possible grâce à l’analyse du
comportementdesutilisateursafindedécelerdescomportementsanormaux.LeCASBapprend
deshabitudesd’utilisationetdescomportementsdesutilisateursgrâceàl’analysedesjournaux
d’activitésdesdifférentesapplicationsinfonuagiques(fonctionnalitéc.1.1duTableau4.4).Siun
utilisateurqui n’en apas l’habitude tentede téléchargerune grandequantitédedonnéesde
l’application vers une autre application ou un compte personnel ou s’il fait une tentative de
connexionhorsdesheuresnormalesdetravailouàpartird’unlieuinhabituel,leCASBpourrait
bloquerl’actionoul’accès,puisémettreunealertedansletableaudebord.Enplusdecetypede
protection, certains fournisseurs intègrent des mécanismes de protection déjà offerts par
108
d’autresproduitscommeladétectiondelogicielsmalveillantsoudevirus,maisquis’appliquent
spécifiquementaucontexted’utilisationdesSaaS.
4.3.4ConformitéetgouvernancePourcequiestdesfonctionnalitésliéesàlagouvernance,ellesvarientselonleproduit,maisily
atroisprincipalespossibilités:1)utiliserdesgabaritsquirespectentcertainesloisdeprotection
desdonnéespersonnelles,2)implanterdespolitiquesdegouvernancepropresàl’entrepriseou
bien 3) faire les deux à la fois (fonctionnalités d.1.1 à d.1.3 du Tableau 4.4). Les gabarits
disponibles varient en fonction du fournisseur, mais ils couvrent un certain nombre de lois,
principalementaméricaines,concernantlaprotectiondesdonnéesdesconsommateursoudes
citoyens. Ces lois obligent les entreprises à protéger les données confidentielles. Les CASB
permettentsoitd’identifierlacatégoried’unedonnée(publique,privéeouconfidentielle)quilui
aétéassignéeaupréalableparunhumainoubiend’analyserlesdonnéesafind’endéterminer
lui-mêmeletypedanscertainscasspécifiques(ex:lesCASBpeuventreconnaîtrelesnumérosde
cartesdecréditoulesdatesdenaissance).Selonletypededonnées,ilspeuventensuitemettre
enplace lesmesuresnécessaires(ex :chiffrer,masquer,bloquer,mettreenquarantaine,etc.)
pourlesprotégerseloncequedictelaloienquestion.L’entreprisen’aqu’àsélectionnerlegabarit
de la loi à laquelle elle souhaite se conformer, par exemple PCI DSS, et le CASB se chargera
d’identifieroudedéterminer,d’analyseretdeprotégerlesdonnéesquidoivents’yconformer.
Pour les données au repos, cette option n’est disponible que pour certaines applications
couvertesparleCASBquiagitentantqu’intermédiaireversl’APIalorsquepourlesdonnéesen
transit, elle est disponible que pour les CASB offerts enmode proxy. Il est aussi possible de
personnaliserlespolitiquesdeprotectiondesdonnéesdanslescasoùlesgabaritsneconviennent
pasàl’organisationcliente,c’est-à-direlecasoùl’organisationchoisitelle-mêmelesparamètres
etlesdonnéesàprotéger.
UneautrefonctionnalitédegouvernancequiestofferteparlesCASBétudiésestlacréationde
journauxliésàl’utilisationdesapplications,cequiestnécessairepourcertainesentreprisesqui
doiventsesoumettreàdesauditsdeconformitéouquiauraientàfournirdespreuvesencasde
litige (fonctionnalité d.1.4 du Tableau 4.4). Ces journaux permettent de garder une trace des
activités liées aux applications infonuagiques, permettant ainsi d’assurer une certaine
109
imputabilité. En somme, lorsqu’onanalyse les fonctionnalitésdegouvernanceoffertespar les
CASB,onserendcomptequ’ellesserapprochentbeaucoupdecequepermetunlogicielcontre
la perte de données (Data Loss Prevention ou DLP), mais avec la différence qu’elles sont
spécifiquesauxSaaS.Eneffet,lesDLPpermettentaussidegéreretdefairelesuividesdonnées
afindeprévenirleurfuitehorsdesfrontièresdel’organisation(Elastica,2014).
4.3.5AutresobservationsIlfautnoterquel’élaborationdesrequisaétéinfluencéeparladéfinitionetlescaractéristiques
actuellesdesCASB.Àlasuitedel’identificationdesfonctionnalitésdesCASBprésentementsurle
marché,onserendcompteque,pourl’instant,lesCASBneprotègentquelesSaaSetlaissentde
côté les PaaS et les IaaS. Il va sans dire que l’organisation à l’étude a des contrats avec des
fournisseursdePaaSetdeIaaSetqu’elleadesbesoinsentermesdesécuritéetdeprotection
pourcesservicescommelemontreleTableau4.2.
Ilestimportantaussiderappelerquel’analyseeffectuéeiciestàhautniveauetquelesrésultats
présentés sont agrégés. Plusieurs CASB se vendent parmodule, ce qui a une incidence sur le
nombreetlanaturedesfonctionnalitésoffertes.Danslaplupartdescas,ilfautacheterunmodule
différentpourl’identificationd’applicationsinfonuagiques(visibilité),puisdesmodulesséparés
pour protéger chacune des applications spécifiques comme Office 365 ou Salesforce.
Malheureusement,lenombred’applicationsainsicouvertesparlesCASBestplutôtlimitépour
l’instant.
Plusieurs fournisseurs de CASB ont aussi des versions de base de leur logiciel avec des
fonctionnalitéslimitéesetuneversionsupérieurequicontientplusdefonctionnalités.Cettefaçon
defaireaévidemmentunimpactsurlescoûts,maisaussisurlaperceptiondesconsommateurs.
Eneffet, les fournisseurs commercialisent lesCASB commedesoutils completsquipossèdent
plusieurs fonctionnalitéspermettantnon seulementde rehausser la sécuritéde l’information,
maisaussid’encentraliseretd’enfaciliterlagestion.Toutefois,lorsqu’onsepenchesurl’offredu
marché,onréalisequelesfonctionnalitésvarientbeaucoupd’unproduitàl’autreetquepourun
mêmefournisseur,ilexisteplusieursconfigurationspossiblesquin’offrentpastouteslemême
niveaudeprotection.Onconstatedonc,àlalecturedesrésultats,quelesCASBcorrespondent
110
bienàladéfinitiondeproduitscomplexesproposéeparNovaketEppinger(2001)etquelechoix
d’une solution s’avère lui aussi très complexe puisque plusieurs éléments sont à prendre en
considération.
Pourconclure,cechapitreapermis,grâceàl’applicationdelaméthodologiederechercheaction
design, d’aller plus loin que cequepropose la littérature etde répondre auxdeuxpremières
questions de recherche présentées en introduction du mémoire. Dans un premier temps,
l’intervention en entreprise a permis l’élaboration d’une grille des requis fonctionnels et
technologiquespourunCASButilisé dans uneorganisationde la finance et de l’assurance au
Canada.Dansundeuxièmetemps,l’analysedel’offreactuelleapermisdedresseruninventaire
desfonctionnalitésetdescaractéristiquesdesCASBsurlemarché.Lechapitresuivantpropose
unediscussionsurlafaçonderéconcilierlesrequisdesorganisationsdudomainedelafinanceet
del’assuranceavecl’offreactuelleafind’évaluerlepotentieldesCASBentantqu’outilquipermet
d’aideràassurerlasécuritédesservicesinfonuagiques.
111
Chapitre5: DiscussionLecinquièmechapitredumémoireestenquelquesortelerésultatdelatroisièmeétapedela
méthodologiederechercheactiondesign,soitcellede«Réflexionetapprentissage».Àlasuite
del’interventionenentrepriseetdelaprésentationdesrésultatscolligésauchapitreprécédent,
ilconvientdesepenchersurcesrésultatsetdelesanalyserafind’entirerdesapprentissages.Ce
chapitre propose, en premier lieu, une analyse des écarts entre les requis en sécurité de
l’organisation à l’étude et des fonctionnalités des CASB sur le marché. En second lieu, une
discussionsurl’influencedel’industrieetducontexteorganisationnelamorcelaréflexionsurle
potentieletleslimitesdesCASB.
5.1 Analyse des écarts entre les requis fonctionnels ettechnologiquesdel’entrepriseàl’étudeetl’offreactuelledesCASBL’intervention a permis d’identifier les requis fonctionnels et technologiques pour un CASB
(artefact #1), ce qui correspond à la réponse à la première question de recherche. Ensuite,
l’inventairedesfonctionnalitésetdescaractéristiquesdel’offreactuelledesCASB(artefact#2)a
permis de répondre à la seconde question de recherche. La troisième et dernière question
concernelafaçondontlesproduitsactuelssontenmesuredecomblerlesrequisidentifiés,cequi
permettraderéaliserletroisièmeetdernierartefact.Pourcefaire,ilafalluanalyseruneàune
chacunedesfonctionnalitésoffertesparlesdouzefournisseursdeCASBchoisisetévaluersi la
fonctionnalitécomblaitentièrement,enpartieoupasdutoutlebesoininventorié.Cetravaila
requisuneanalyseenprofondeuretexhaustivedesfonctionnalitésoffertesafindedifférencier
entrelaréalitéetlesaffirmationsmarketingtropsouventnébuleuses.Laprésentesectionvise
ainsiàanalyserlesécartsentrecesrequisetl’offre,d’abordenprésentantuntableaurécapitulatif
montrantlesécartsconstatés,suivid’uneanalysedecetableauet,finalement,enformulantdes
pistesderéflexion.
Letableauquisuitpermetderéconcilierlesrequisdel’organisationavecl’offredechacundes
fournisseursdeCASB.LestroispremièrescolonnesreprennentcellesduTableau4.2quiportent
surlesobjectifsetlesrequisglobauxetspécifiquesdesécuritédel’entreprise.Àladroitedeces
112
colonnes, chacun des douze fournisseurs présentés précédemment apparaissent, en ordre
alphabétique.Pourchacundesrequis,ilestindiquésileproduitoffertparlefournisseurlecomble
complètement,partiellementoupasdutout.Dansderarescas,iln’apasétépossibledetrouver
l’informationliéeàunrequisspécifique.Lesréférencesquiontserviàl’élaborationdecetableau
sont lesmêmes que celles des tableaux des fournisseurs du Chapitre 4 et elles peuvent être
consultéesdansunesectionàpartàlafindelabibliographie.
113
Tableau5.1:Analysedesécartsentrelesrequisdel’organisationetl’offreactuelledesfournisseursdeCASBe
eRéférences:voirlasectionspécifiquedelabibliographie.
Objectifsdesécurité Requisglobaux Requisspécifiques
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
PaloAlto
Networks
Skyh
igh
Networks
Requisfonctionnels
a.Confidentialité
a.1Gestiondel’identitéetdesaccèspours’assurerqueseuleslespersonnesautoriséesaientaccès.
a.1.1Fédérationdesidentités. ü ü ü ü ü - ü ü ü ü Ñ ü
a.1.2Intégrationdespolitiquesdegestiondesaccèsetdesprivilègesdel’entreprise. ü ü ü ü ü ü ü ü ü ü Ñ ü
a.1.3Authentificationmulti-facteurpourlescomptesàhautsprivilèges(comptesbénéficiantdeprivilègesd’administrateurouàhautrisquedesécuritépourl’organisation).
ü ü ü - ü ü ü - ü - - ü
a.1.4Contrôledesaccèsbasésurlerôle(Role-basedAccessControlouRBAC). ü Ñ - ü - - ü ü ü Ñ - ü
a.2Empêcherl’accèsauxdonnéesconfidentiellesdesclientsparlefournisseurouparlesautresclientsdumêmeserviceinfonuagique.
a.2.1Chiffrementdesdonnéesconfidentiellesaurepos. ü Ñ Ñ ü ü Ñ Ñ Ñ ü Ñ Ñ Ñ
a.2.2Chiffrementdetouteslesdonnéesentransit,incluantcelleséchangéesentrelesmachinesvirtuelles. ü Ñ Ñ ü ü Ñ Ñ Ñ ü Ñ Ñ Ñ
a.2.3Lechiffrementnedoitpasaffecterlaperformancedesfonctionsderechercheoudetridesdonnéesutiliséesparl’application.
ü Ñ Ñ ü Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ
a.2.4Utilisationd’algorithmesstandards,éprouvésetàjourpourlechiffrement.
ü Ñ Ñ ü ü Ñ Ñ Ñ ü Ñ Ñ Ñ
a.2.5Identificationdesappareilsautorisésounonquiutilisentdesservicesinfonuagiques.
ü Ñ Ñ Ñ ü ü ü ü ü - - ü
a.2.6Identificationdesapplicationsinfonuagiquesquisontutiliséesdansl’organisation. ü ü ü ü ü ü ü ü ü ü ü ü
114
Tableau5.1:Analysedesécartsentrelesrequisdel’organisationetl’offreactuelledesfournisseursdeCASB(suite)
Objectifsdesécurité
Requisglobaux Requisspécifiques
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
PaloAlto
Networks
Skyh
igh
Networks
b.Intégritéb.1Altérationdesdonnées. b.1.1Chiffrementdesdonnées. ü Ñ Ñ ü ü Ñ Ñ Ñ ü Ñ Ñ Ñ
c.Disponibilitéc.1Gestiondesincidentsetdesattaques.
c.1.1Automatisationdelasurveillance(journauxdesaccèsetsurveillancedesincidentsoudesanomalies)pourlescouchessouslecontrôledel’organisation.
ü ü ü ü ü ü ü ü ü ü ü ü
c.1.2Centralisationdesinformationsliéesauxservicesinfonuagiques(nomdufournisseur,natureduservice,responsabilités,systèmesreliés,etc.)dansunrépertoireafindepouvoirrépondrerapidementauxincidents.
Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ Ñ
d.Gouvernance
d.1Surveillanceetimputabilité.
d.1.1Suivietjournalisationdelacréation,delamodificationetdelasuppressiondedonnéesutiliséesparlesapplicationsinfonuagiques.
ü ü ü ü - ü ü ü ü ü ü ü
d.1.2Journalisationdesconnexions,desautorisationsetdétectiondecomportementsanormaux.
ü ü ü ü ü ü ü ü ü ü ü ü
d.2Conformité.
d.2.1Conformitéaveclaréglementationetlesnormesdesécuritédel’informationenvigueurauCanada(ex:Loidelaprotectiondesrenseignementspersonnels,Loisurlesbanques,etc.).
Ñ Ñ Ñ Ñ Ñ Ñ Ñ - Ñ Ñ Ñ Ñ
115
Tableau5.1:Analysedesécartsentrelesrequisidentifiésetl’offreactuelledesfournisseursdeCASB(suiteetfin)
Objectifsdesécurité
Requisglobaux Requisspécifiques
Bitglass
Blue
Coat
(Elastica)
CensorNet
Ciph
erClou
d
Clou
dLock
FireLayers
Impe
rva
Microsoft
Clou
dAp
p
Netskop
e
Palerra
PaloAlto
Networks
Skyh
igh
Networks
Requistechnologiques
e.Disponibilitée.1Gestiondesincidentsetdesattaques.
e.1.1Alertesentempsréelencasd’attaqueoud’anomalieetintégrationaveclesoutilsducentredesurveillancedelasécuritédel’organisation.
± ± ± ± ± ± ± ± ± ± ± ±
f.Autres f.1Intégration.
f.1.1Compatibilitéaveclescomposantesdel’architectured’entrepriseactuelle. ± ± ± ± ± ± ± ± ± ± ± ±
f.1.2Intégrationaveclesmécanismesdesécurité(ex:logicieldegestiondesévénementsensécuritédel’information,logicield’authentificationunique,logicieldegestiondesappareilsmobiles,pare-feu,etc.)déjàenplacedansl’organisation,sanslescompromettre.
Ñ ü Ñ Ñ ü - ü Ñ Ñ Ñ Ñ ü
f.1.3Déploiementlocal(etnonpasenmodeinfonuagique).
ü Ñ ü ü Ñ ü ü ü ü Ñ Ñ ü
Légendedutableau5.1:
ü:leCASBdufournisseurrépondaurequis.Ñ:leCASBdufournisseurnerépondpasaurequis.‒:l’informationsurcerequisn’estpasdisponible.±:leCASBdufournisseurrépondpartiellementaurequis.
116
Suite à la lecture du tableau précédent, il convient d’apporter quelques précisions afin de
remettrelesrequisencontexte.Lapremièrelignedutableau(a.1.1)mentionnelafédérationdes
identités,unconceptquisignifiequel’identitéd’unutilisateurestlamêmepourtouslessystèmes
del’organisation.CommelesCASBnesontpasdeslogicielsspécialisésengestiondesidentités,
cenesontpaseuxquipermettentlafédérationdesidentités,maisplutôtleserviced’annuaire
jumeléaulogicield’authentificationunique(SingleSign-onouSSO).LeCASBneremplacepasces
logiciels.Néanmoins, lorsqu’ilestcompatibleavecceux-ci, il faitensortequelespolitiquesde
gestiondes identitésconfiguréesdansces logiciels, incluant la fédérationdes identités, soient
appliquéesauxapplications infonuagiques.Cen’estdoncpas leCASB lui-mêmequipermet la
fédérationdesidentités,maisplutôtleslogicielsdegestiondesidentités,pourpeuqueleCASB
soitcompatibleaveccesderniers.
Uneautrelignedutableauquinécessitequelquesprécisionsestcelleconcernantlacentralisation
des informations associées aux applications infonuagiquesutiliséesdans l’organisation (requis
c.1.2). Ce requis découle d’un besoin d’avoir rapidement accès à l’information concernant le
contrataveclefournisseur,lesresponsabilités,lecanaldecommunicationetleprotocoleencas
d’unincidentdesécuritéimpliquantleserviceinfonuagique.Cesinformations,àconditiond’être
disponiblesauxbonnespersonnesdanslesdifférenteséquipes,permettraientderépondreplus
rapidementaux incidentsde sécurité liés àdes services infonuagiques.Malheureusement, les
CASB ne stockent qu’une information très limitée sur les services infonuagiques comme par
exemple, le nom du service et le nombre d’utilisateurs. Ils sont donc, dans leur état actuel,
insuffisantspourremplirlerequisdel’organisation.
Dans la section sur les requis technologiques dans le tableau précédent, deux ne sont que
partiellementremplis,soitlacompatibilitéavecl’infrastructuredel’organisation(requisf.1.1)et
l’intégrationavec lesoutilsducentredesurveillance(requisf.1.2).Cesdeuxrequisdépendent
desoutilsetdeslogicielsenplacedansl’organisation.LesfournisseursdeCASBnesontpastrès
transparents lorsqu’il est question de la compatibilité avec d’autres logiciels. Ilsmentionnent
généralement la classe de logiciels avec lesquels ils sont compatibles (par exemple, les
gestionnairesd’informationetd’événementsdesécurité(SIEM)ouleserviced’annuaire),maisils
neprécisentpas les logicielsspécifiquesparmitousceuxoffertssur lemarché.Desdemandes
117
auprèsdecertainsfournisseursn’ontpaspermisd’obtenirdesréponsesclaires.Cemanquede
transparencelaissesupposerquelacompatibilitédesCASBavecd’autresoutilsestencoretrès
limitée.D’ailleurs,dansunrapportparucetteannée,desanalystesdeGartnermentionnentque
l’intégrationdesCASBaveclesautrescomposantesdel’infrastructureestunequestionépineuse
àcausedelagrandevariabilitédanslesdifférentessolutionsCASBoffertesetdanslesoutilsde
sécuritéutilisésparlesorganisations(ReedetLowans,2016).
Lalecturedutableauprécédentpermetdeconclurequ’aucunproduitneremplitàluiseultous
lesrequistechnologiquesetfonctionnelsdel’organisationàl’étude.Toutefois,lorsqu’onfaitun
amalgamedetoutes lessolutionsdisponiblessur lemarché,onserendcompteque lagrande
classed’outilsdesCASBoffretoutdemêmeunebonnecouvertureenremplissantunemajorité
de requis. Seuls deux requis ne sont pas comblés par les CASB actuels. Le premier, soit la
centralisationdesinformationsliéesauxservicesinfonuagiquesdansunrépertoire,aétédiscuté
plushaut.Lesecondrequisestceluidelaconformitéaveclaréglementationet lesnormesde
sécuritédel’informationenvigueurauCanada.LesCASBontlepotentield’aiderlesorganisations
àseconformerauxloiscanadiennesetquébécoisesdeprotectiondesrenseignementspersonnels
en imposant le chiffrement, la segmentation en unités ou le masquage32 des données
confidentielles.CertainsCASBproposentd’ailleursdesgabaritsdepolitiquesdeprotectiondes
donnéesquifacilitentlerespectdecertaineslois.Leseulinconvénientestquelesloiscouvertes
sontsouventspécifiquesauxÉtats-UnisetlesCASBneproposentpasdegabaritscollésauxlois
canadiennes,cequiestpeupratiquepourlesentreprisesd’ici.Heureusement,laplupartdesCASB
quioffrentcesgabaritspermettentaussidelesmodifierafindelespersonnaliserselonlesbesoins
d’uneorganisationquiévoluedansuncontextelégaldifférent.Donc,uneentreprisecanadienne
peut tout demême bénéficier de ces fonctionnalités avec quelques efforts de configuration.
Toutefois, la configuration personnalisée augmente les coûts et demande des efforts de
maintenancesupplémentaires.IlseraitdoncintéressantquelesfournisseursdeCASBproposent
desgabaritsadaptésàleursclientscanadienss’ilssouhaitentpercercemarché.
Cette section avait comme objectif d’analyser les écarts entre les requis spécifiques de
l’entrepriseàl’étudeetdesCASBactuellementofferts.Cetteanalysedresseunportraitrestreint
32Lemasquagedesdonnéesconsisteàlimiterl’expositiondeladonnée(Microsoft,2016e).Onlacachedesutilisateursnonautorisésenlaremplaçantpardesétoilesoudespoints.
118
deslimitesetdupotentieldesCASBpuisqu’elleestancréedanslecontexteorganisationneldans
lequel a eu lieu l’intervention. La section suivante approfondit la réflexion entamée en se
penchantsurl’influencedel’industrieetducontexteorganisationnelsurlesrequisnécessaires
pourunCASB.
5.2 L’industrie ou le contexte organisationnel : undéterminant des requis fonctionnels et technologiquespourunCASB?Deparsanature, laméthodologiechoisiepourcemémoirenepermetd’étudierqu’uneseule
entreprise.Àcestade-ci,ilesttoutefoispertinentdesequestionnersurlagénéralisationpossible
des résultats à d’autres entreprises et à d’autres industries. En effet, on peut croire que les
entreprises œuvrant dans l’industrie de la finance et de l’assurance partagent certaines
caractéristiquesquisetraduisentpardesrequissimilairespourunCASB.Onpensenotammentà
l’utilisationdegabaritsquipermettentlaconformitéàdesloisspécifiquesoulechiffrementde
certainesdonnées.Néanmoins,au-delàdel’appartenanceàuneindustrie,lefruitdesdiscussions
tenues et la réflexion faite pointent vers l’identification d’autres facteurs spécifiques à une
organisation qui pourraient avoir une grande influence sur les requis technologiques et
fonctionnels pour un CASB. L’analyse permet d’en pointer trois, soit la complexité de son
infrastructure,sonniveaudematuritéentermesdesécuritéetsataille.
D’abord, la complexitéde l’infrastructurepourraitavoirun impactconsidérable sur lesefforts
d’intégrationduCASBaveclesautrescomposantesetsurlacapacitédecetoutilàévolueravec
le reste de l’infrastructure au fil des ajouts de composantes et des mises à jour. La section
précédentefaitd’ailleursétatdel’importancedurequisdecompatibilitépourunCASB.Pourune
entreprise qui possède une faible complexité technologique, par exemple une entreprise en
démarrage, l’implantationd’unCASBsembleavantageusepuisque lenombredecomposantes
aveclesquellesildoits’intégrerestrestreint.LeCASBimplantédansunetelleentrepriseauraitle
potentiel de devenir la pierre angulaire des processus de gestion des services infonuagiques
puisque toutes les composantes ajoutées subséquemment à l’infrastructure viendraient s’y
intégrer.Danscescas,leCASBaréellementlacapacitéd’assurerlacentralisationdelasécurité
infonuagiqued’uneorganisation.Danslecascontraireoùl’entreprisepossèdeuneinfrastructure
119
beaucoupplusdéveloppée,lenombredecomposantesimpliquéesdansl’implantationduCASB
risquedecauserplusieursproblèmesdecompatibilité.Cettelourdeursupplémentairepourrait
venir contrecarrer leséconomiesd’échelle associéesà l’utilisationde l’infonuagique. Toujours
dans le cas où l’infrastructure est complexe, il est aussi fort possible que les fonctionnalités
offertes par les CASB soient déjà disponibles grâce aux outils en place, ce qui amènerait une
duplicationéconomiquementdifficileàjustifier.
Enplusdelanaturedel’infrastructureenplace,leniveaudematuritéensécuritédel’information
pourraitavoiruneincidencesurladécisiond’acquérirunCASB.Eneffet,uneorganisationdont
lesprocessusdesécuritédel’informationsontpeudéveloppésestplusvulnérableauxincidents
ouauxattaques.Dans ces cas, l’acquisitiond’unoutildeprotection commeunCASBpourrait
l’aiderenautomatisantetensimplifiantunepartiedesagestionde lasécurité.Deplus, ilest
possiblequel’implantationd’unCASBdansuneorganisationquiaunfaibleniveaudematurité
ensécuritérequerraitmoinsdemodificationsauxprocessusdéjàenplaceetseraitainsiplusfacile
etpluséconomiquequedanslecasd’uneorganisationayantunplushautniveaudematurité.
Finalement,au-delàdesrequis,ilestimpossibled’ignorerl’aspectéconomiquepuretsimpleliéà
l’implantationd’unCASBetcelui-ciestdirectementdépendantdelatailledel’organisation.En
effet,commelesCASBsontgénéralementfacturésenfonctiondunombred’utilisateurs,lecoût
depossessiond’unCASBseradirectementproportionnelàlatailledel’organisation.Cemodede
facturationpourrait convenirdans lecasdepluspetitesentreprisesavecunnombre restreint
d’employés,maispeutdevenirviteprohibitifdanslecasd’uneorganisationdegrandetaille.En
effet,dansunmoded’utilisationsouslicenceplustraditionnel(parexemple,pourl’acquisition
d’unpare-feuoud’unlogicieldegestiond’informationetd’événementsdesécurité(SIEM)),plus
lenombred’employésdansl’organisationestélevé,moinsgrandestlecoûtparemployépourle
logiciel,cequiavantagel’organisationdegrandetaille.Del’autrecôté,lafacturemensuellepour
l’utilisation d’un CASB demeure constante et est directement proportionnelle au nombre
d’utilisateurs.Dansuntelcontexte,lemodedefacturationd’unCASBparutilisateur(plutôtque
fixeouparpaliers)estéconomiquementplusdifficileàjustifierpouruneentreprisedegrande
taille,dontlemodèledelicencetraditionnelleluipermetdebénéficierd’économiesd’échelle.Si
onmultiplielenombredeCASBparlenombredeservicesinfonuagiquesutilisésetlefaitqu’un
120
seul employé peut utiliser plusieurs applications infonuagiques, cela peut faire monter
drastiquementlafacture.
CetteanalysenousmèneàpenserquelesCASB,telsqu’ilssontactuellement,sontpeut-êtreune
optionplusadaptéeàcertainstypesd’organisationsqued’autres.Uneentreprisedepetitetaille,
avecuneinfrastructuretechnologiquerudimentaireoudontleniveaudematuritédesprocessus
de sécurité est faible risque de tirer plus de bénéfices de lamise en place d’un CASBqu’une
organisationquinepossèdepascescaractéristiques.Actuellement,lepotentieldesCASBpour
combler lesbesoinsd’uneentreprisesembleêtredépendant,dumoinsenpartie,ducontexte
organisationnel dans lequel il est implanté. Cette situation pourrait s’avérer un frein au
développementetàl’adoptionmassivedecetteclassed’outils.
Ainsi,lesrequisidentifiésicipourlesCASB,enplusdesavantageséconomiquesqu’ilestpossible
d’entirer,peuvents’avérerplusoumoinsimportantsselonlecontexteorganisationnel.Onpeut
assumerqu’uneentreprisedegrandetailledudomainedelafinanceetdel’assuranceaurades
requisfonctionnelsettechnologiquesainsiquedesimpératifséconomiquessemblables.Même
s’ilestpossibledecroirequ’ilsdemeureronttousprésents,cetteréflexionnousporteàcroireque
l’importanceaccordéeàchacundesrequisidentifiéspourraitvarierselonlescaractéristiquesde
l’organisationetdesoncontexte.
Certainespistesd’améliorationsontproposéesdanslasectionsuivanteafinquelesCASBpuissent
devenirunoutildesécuritélargementadoptédanslesorganisations.
5.3LepotentieletleslimitesdesCASBMême si l’analyse a été faite pour un contexte organisationnel spécifique, les résultats sont
suffisammentgénérauxpourqu’ilnoussoitpermisd’identifiertroisavenuesquipermettraient
auxCASBdemieuxexploiterleurpotentielafind’assurerlasécuritédesservicesinfonuagiques.
Cestroisavenuessontl’étenduedelaprotectionofferte,l’étenduedesfonctionnalitésdecette
classed’outilset,endernierlieu,latechnologieetlesmodesd’implantationdesCASB.
121
5.3.1L’étenduedelaprotectionChacundesservicesinfonuagiquesutilisédansl’organisationdevraitbénéficierdesmécanismes
deprotectionrequispourassurerlasécuritédel’informationqu’iltraite.Or,lamultiplicationdu
nombre de services, tous les types confondus, rend cette tâche particulièrement difficile. Les
CASB,bienqu’ilsreprésententunpasdanslabonnedirection,n’incarnentpasunesolutionde
protectioncomplètepourdeuxprincipalesraisons:1)lenombrelimitédeSaaSquisontprotégés
parlesmodulesdesCASBprésentssurlemarchéet2)lesCASBnesontactuellementdisponibles
quepourdesservicesdetypeSaaS.Cesdeuxpointssontdiscutésàtourderôle.
LenombrelimitédeSaaScouvertsparlesCASBsurlemarché
Malgrélegrandnombred’applicationsinfonuagiquesdisponiblesetutilisées,telquementionné
danslarevuedelalittérature(Chapitre2)etdanslesrésultats(Chapitre4),ilyaseulementune
poignée d’applications pour lesquelles un module de CASB est proposé. En plus des neuf
applicationslespluspopulairesrépertoriéesdansleTableau4.5surlescaractéristiquesdesCASB
actuels,onzeautresapplications(ex:SAPSuccessfactorsouYammer)ontpuêtreidentifiéessur
les sites des fournisseurs (Bitglass, 2016b; CloudLock, 2016; Elastica, 2016; FireLayers, 2016;
Microsoft,2016b;Netskope,2016;Palerra,2016;PaloAltoNetworks,2016;SkyhighNetworks,
2016).LacouverturetotaledesCASBactuelss’étenddoncàvingtapplications,cequiesttrèspeu
sioncomparecechiffreaunombred’applicationsquelesorganisationsutilisent.Ilyaainsiune
grandeproportiondesapplicationsutiliséesauseindesorganisationsquibénéficientd’unemoins
grande protection. Les fournisseurs de produits de type CASB se doivent de développer des
solutionsquicouvrentunéventailpluslarged’applicationsafinderépondreauxbesoinsdeleurs
clients.Autrement, laprotectionofferteparcesproduitsestsi limitéepar rapportaunombre
d’applicationsutiliséesdansl’entreprisequ’ildevientdifficiled’enjustifierl’acquisition.
MisàpartlacouverturelimitéeofferteparlesCASB,leformatmodulairedecesproduitsestune
autrelimiteàleuradoption.Eneffet,l’achatdeplusieursmodulespoursimplifierlagestiondela
sécurité infonuagiqueest contre-productifpuisqu’au lieud’avoirun logicieluniquequi couvre
touteslesapplications,ilfautenacquériretengérerplusieurs.Legainassociéàl’achatd’unCASB
estalorsmarginalpuisquel’effortassociéàlagestionduCASBetdesesdiversmodulesdevient
tropgrand.Uneentreprisepourraitquestionnerl’intérêtdeseprocureruntelproduitetpréférer
assurersagestiondelasécuritémanuellementplutôtqued’yavoirrecours.
122
LeslimitesdanslestypesdeservicesprotégésparlesCASB
Lesecondpointàconsidérerest le typedeservicescouvertspar les fonctionnalitésdesCASB
actuels.Lesentreprisesutilisentunecombinaisondesdifférentstypesdeservicesinfonuagiques.
Eneffet,selonunrapportpubliéparCisco,45%desservicesutilisésparlesorganisationssont
desSaaS,42%sontdesIaaSalorsque13%sontdesPaaS(Cisco,2015).Malgrécettediversité
dans les services utilisés, l’étendue de la protection offerte par les CASB n’est présentement
limitéequ’auxSaaS.Lesstatistiquesdémontrentdoncque les fournisseursdeCASBseprivent
d’unmarché important en ne se concentrant que sur un seul des trois types de services. Ce
manquedecouverturepour lesdifférentsservicesrisquedecauserdes inefficiences liéesà la
duplicationdesefforts,desprocessusetdesoutilsdeprotectionpourchacundestroisservices.
L’inclusiondesPaaSetdesIaaSdansl’offredesCASBseraittrèsbénéfiquepourlesorganisations
qui n’auraient pas à acquérir un logiciel de sécurité différent pour chacun des trois types de
services puisqu’elles auraient accès à toutes les fonctionnalités de gestion de leurs services
infonuagiquesaucœurd’unseulproduit.UnCASBquicibleraitlesPaaSetlesIaaSpermettrait
d’accomplirlesobjectifsdegouvernance,deprotectiondesdonnéesetdeprotectioncontreles
menaces externes. Pour accomplir ces objectifs, certaines fonctionnalités pourraient être
similairesàcellesdéjàoffertes(ex:imposerlespolitiquesdesécuritédel’organisation,chiffrer
lesdonnéesaureposetcellesentransit,offrirdesmécanismesdesurveillance,etc.),alorsque
d’autres pourraient être adaptées aux caractéristiques spécifiques des PaaS et IaaS (ex : la
protectiondesplateformesdedéveloppementpourlesPaaSoulaségrégationetl’intégritédes
différentesmachinesvirtuellesduclientpourlesIaaS).L’inconvénientdesetournerverscesdeux
autres types de services pour les fournisseurs est évidemment les investissements dans le
développementdefonctionnalitésquileursontspécifiques.Toutefois,lacarencedansl’offrede
produitsCASBpouvantprotégertouslestypesdeservicesinfonuagiques,toutcommelemanque
demodulesdisponibles,représententuncasse-têtepourl’organisation.Eneffet,l’organisation
clientedoitalorsseprocurerplusieursproduitspourassurer lasécuritédesdifférentsservices
(SaaS, IaaS et PaaS), ce qui cause une lourdeur administrative et une plus grande difficulté à
justifierlesinvestissementsrequis.
123
5.3.2L’étenduedesfonctionnalitésEnsuite,toutaulongdumémoire,ilfutbeaucoupquestiondecompatibilitéentrelesCASBetles
logicielsdesécuritéexistants.Laplupartdesentreprisesontdéjàmisenplacedesmécanismes
desécuritécommedespare-feu,desgestionnairesd’informationetd’événementsdesécurité
(SecurityInformationandEventManagementouSIEM)oudesgestionnairesd’appareilsmobiles
(MobileDeviceManagementouMDM).Bienqueceux-cin’ontpasétéconçusspécifiquementà
ceteffet,ilssonttoutdemêmeenmesuredeprotégerlesdifférentsservicesinfonuagiques,peu
importeleurtype.LesCASBentrentdoncdansunmarchéplutôtmaturedelogicielsdesécurité
et certains questionnent leur pertinence puisque plusieurs des fonctions qu’ils offrent sont
disponiblesgrâceauxlogicielsdéjàprésentsdanslesorganisations.
Pourl’instant,lesCASBoffrentuneprotectionverticale,c’est-à-direqu’ilspossèdentbeaucoup
de fonctionnalités,mais que chacune de ces fonctionnalités n’offre qu’une protection limitée
comparéeàunlogicielspécialisé.Parexemple,lesCASBoffrentlechiffrementdesdonnées,mais
souvent avec plusieurs bémols et limité à quelques applications pour lesquelles un module
spécifique existe. Il devient donc impératif que les CASB, s’ils veulent survivre comme classe
d’outils,trouventunmoyendesedémarquerdeslogicielsdesécuritéactuellementofferts.Une
solutionseraitquelesfournisseurschoisissentdediminuerlenombredefonctionnalitésoffertes
par leurCASB,maisqu’ilsdéveloppentdavantage lapuissancedechacunedes fonctionnalités
conservées.UntelCASBplusspécialiséélimineraitainsilaconcurrencedecertainsautreslogiciels
desécuritételslesSIEMoulesMDMetpourraitlesremplacer.Ilseraitdoncbeaucoupplusfacile
dejustifierl’achatd’unCASBpuisqu’ilpermettraitderationaliserlesdépensesenlicencespour
d’autres logiciels. Considérant que la plupart des CASB se vendent à un coût mensuel par
utilisateur,ildevientimportantd’êtreenmesuredejustifiercettedépenseauprèsdeladirection
de l’entreprise. De plus, le fait de développer davantage certaines fonctions permettrait de
centraliser les processus de sécurité de l’organisation, simplifiant ainsi toute la gestion de la
sécurité.
DesCASBplusspécialisésavecmoinsde fonctionnalitésviendraientnéanmoinsavecquelques
inconvénients. Ils seraient possiblement plus coûteux à développer parce qu’ils requerraient
davantaged’effortsenrechercheetendéveloppementdelapartdesfournisseurs.Eneffet, la
technologie actuelle utilisée par les fournisseurs est loin d’être révolutionnaire et les CASB
124
fonctionnent selon des mécanismes (ex : utilisation des API ou des proxy, utilisation de
technologies de chiffrement) qui ont fait leurs preuves. Ainsi, pour développer davantage les
fonctionnalitésdecetteclassed’outils,lesfournisseursdevrontvraisemblablementinvestirdans
le développement denouvelles façons de faire. L’autre inconvénient attaché à des CASBplus
spécialisésestqu’enadoptantcettevoie,lesfournisseursrisquentd’attirermoinsdeclientsetde
secantonnerdansunmarchédenichepourdesclientsavecdesbesoinsdesécuritétrèspointus.
L’intérêt actuel pour les CASB s’explique entre autres par le fait qu’ils peuvent accomplir des
objectifsdesécuritécommunsàtouteslesorganisations,peuimportel’industrie.S’ilsprennent
leviragedelaspécialisation,mêmeenoffrantunoutildesécuritépluspuissant,lesfournisseurs
deCASBrisquentdes’aliénerunecertaineclientèlequiadesbesoinsdesécuritédebase.On
risquedeseretrouverdansuncerclevicieuxoùlesrevenusgénérésparlesventesnesontpas
suffisantspourjustifierlesinvestissementsenrecherche.
5.3.3Latechnologiesous-jacenteUn autre point soulevé par l’étude est la technologie utilisée pour protéger les données.
L’implantationd’unCASBparproxyprésupposequetoutletraficsurleréseaudel’organisation
passeparunseulcentrededonnéesetqu’ilyaunpointuniqued’entrée.LeCASBestalorsutilisé
commeunebarrièrequiinterceptecetrafic,l’analyseetyappliquelespolitiquesdeprotection
desdonnéesdel’entreprise.Or,cetteconfigurationavecuneseuleentréeestsouventimpossible
dans lecasd’unegrandeentreprisequiadesmilliersd’utilisateursdansdifférentsbureauxet
pointsdeservices.Eneffet,danscegenred’organisation,ilexisteplusieursportesd’entréequi
permettentdegéreretd’équilibrerletraficpourminimiserlalatence.Donc,l’implantationd’un
CASBparproxy,tellequ’ellesefaitaujourd’hui,n’estpasviablepouruneentrepriseavecplusieurs
pointsd’accèsàsonréseauetdehautesexigencesensécurité.Pourcequiestdesmultiplespoints
d’entrée, l’alternative est un CASB en tant qu’intermédiaire vers l’API, mais la revue de la
littérature(Chapitre2)expliqueleslimitesdecetteapprocheetc’estpourquoiunCASBhybride
estsouventpréconisé.UnesolutionalternativedoitêtreproposéeparlesfournisseursdeCASB,
sinoncetyped’outilrisquedenepouvoirreprésenterunesolutionquepourlesentreprisesde
taillemodeste.
125
Toujoursenlienaveclepointprécédent,dansunmodeparproxy,letraficchiffréquipasseparle
CASBdoitêtredéchiffréparcelui-cipourl’analyse,puischiffrédenouveauavantd’êtreenvoyé
versl’applicationoul’utilisateurfinal.SileCASBestimplantéenmodeinfonuagique,cettefaçon
defaireimpliquealorsquelefournisseurdeCASBaitaccèsàtouteslesdonnéesdel’entreprise
entextebrut,cequivaàl’encontredetouteslesbonnespratiquesdesécuritémentionnéesdans
larevuedelalittérature.LefournisseurdeCASBnedevraitpasavoiraccèsauxdonnéesentexte
brut,niauxclésdechiffrement.Cetteméthoded’implantationenmodeinfonuagique,laseule
offerte par certains fournisseurs, a de quoi rendre les responsables de la sécurité d’une
organisation très nerveux. La solution est d’implanter le CASB localement plutôt qu’enmode
infonuagique.C’estd’ailleurspourcetteraisonquel’implantationduCASBenmodelocalestun
desrequisdel’organisationàl’étude.LecontrecoupestqueleCASBimplantédecettefaçonne
bénéficiepasdesavantagesdel’infonuagiquecommel’ajustementselonlademande,l’utilisation
en libre-service ou le paiement par utilisateur. Pour un logiciel qui promet de protéger les
applications infonuagiques,celasembleplutôt ironique.Deplus, l’implantation locale requiert
plusdetemps,deseffortsdemaintenanceetexigedescoûtsinitiauxplusgrands.
En bref, pour développer leur potentiel et devenir un produit de sécurité essentiel, les CASB
doiventcapitalisersurleurcapacitéàcentraliseretàstandardiser lagestiondelasécuritédes
services infonuagiques, tous types confondus. En plus de bonifier leur offre d’applications
couvertes, ils doivent aussi cibler davantage leurs efforts de protection afin de justifier leur
pertinencepouruneorganisation.Pourlemoment,ilsreprésententunautrelogicieldesécurité
parmitantd’autresetnesedémarquentpassuffisammentdulotpourjustifierl’investissement.
Deplus,leurmodedefonctionnementquiobligeledéchiffrementdesdonnéesparleCASBrisque
decréeruncertainmalaiseauseindeplusieursentreprises, surtoutcellesde l’industriede la
financeetl’assurance,delasantéoudeladéfense,quionttoutesdesdonnéesconfidentiellesà
protéger.Cesentreprisesnesouhaitentpas laisserunetiercepartieavoiraccèsà toutes leurs
données.Lesfournisseursdoiventcontinuerd’êtreàlarecherchedemoyensd’implantercetoutil
sanscompromettrelasécuritédesdonnéesetduréseaudel’entreprisecliente.
126
Chapitre6: ConclusionCe mémoire porte sur un sujet peu exploré jusqu’à maintenant en TI, soit la sécurité de
l’informationdansunenvironnementinfonuagique.Devantlepeuderessourcesdisponibles,les
entreprises sont nombreuses à se questionner sur la meilleure façon d’adopter ce mode
d’approvisionnementsansmettreenpérilleursécurité.L’étudeprésentéedanscespagestente
de comprendre les requis en sécurité des entreprises d’une industrie particulière, celle de la
financeetdel’assuranceauCanada.Cesbesoinsensécuritésontnombreuxetunenouvelleclasse
d’outils,lesCloudAccessSecurityBrokersouCASB,avulejourafind’enfaciliterleurgestion.Le
présentchapitreoffreunrécapitulatifdesapprentissagesréalisésenplusdedécrirecomment
ceux-cicontribuentàlarechercheetàlapratique.Uneprésentationdeslimitesdel’étudeconclut
ensuitelemémoire.
6.1Rappeldel’objectifetdesquestionsderechercheL’émergencede l’infonuagiqueen tantquemoded’approvisionnement informatique force les
entreprisesàsequestionnersurleursbesoinsensécuritédel’informationetsurleurtolérance
au risque. Bien que l’infonuagique offre certains avantages indéniables, elle comporte aussi
certains risques en sécurité de l’information qui diffèrent de ceux présents dans une
infrastructuretraditionnelle.Parmi lesdéfisspécifiques liésàcemoded’approvisionnement, il
fautnoterladifficultéd’assurerlaconfidentialité,l’intégritéetladisponibilitédesdonnéesqui
sont traitées ou qui logent chez le fournisseur. De plus, il faut ajouter à cela la division des
responsabilitésentreleclientetlefournisseurquivarieselonletypedeservicesinfonuagiques
etquipeuts’avérerparfoisfloue.Lesobligationslégalesauxquellessontsoumiseslesentreprises
viennent également complexifier davantage le choix d’une solution ou d’un fournisseur
infonuagique.LesCASBontétéproposéscommeuneclassed’outilsquipermettraitjustementde
simplifier lagestionde lasécurité infonuagique.Bienqu’ilsaientunpotentiel intéressant, leur
nouveautéetlacomplexitédeleursinteractionsaveclesautrescomposantesdel’infrastructure
technologiquedel’entrepriseenfontdesproduitscomplexes.
Lemémoire cherchait donc à comprendre, dans un premier temps, quels seraient les requis
fonctionnels et technologiques d’un CASBmis en place dans le domaine de la finance et de
127
l’assuranceauCanada.Pourcefaire,unerevueexhaustivedelalittératureaétéréaliséeafinde
jeterlesbasesconceptuellesnécessairesàuneinterventionenentreprise.Cetteinterventions’est
déroulée selon une approche de recherche action design qui a permis d’identifier les requis
fonctionnels et technologiques qui ont ensuite été présentés dans une grille (artefact #1) au
chapitredesrésultatsdumémoire.
La seconde question de recherche visait à dresser un inventaire des fonctionnalités et des
caractéristiquesdesoutilsdetypeCASBactuellementsur lemarché.Plusieurssourcesdont la
documentation des fournisseurs, les rapports de firmes de recherche Gartner et Forrester et
d’autresrevuesprofessionnellesontétéconsultées.Deplus,desrencontresvirtuellesavecdeux
fournisseurs ont été organisées afin d’obtenir une démonstration de leur produit et des
clarificationsquantàleursfonctionnalités.Decetexercice,ilestressortiunegrillequiinventorie
lesfonctionnalitésetlescaractéristiquesdedouzeCASB(artefact#2).
Dans un troisième temps, l’étude avait comme objectif de répondre à la question suivante :
comment les solutionsde typeCASBactuellementoffertes sur lemarché répondent-elles aux
requisidentifiés?Pourélaboreruneréponseàcettequestion,unecomparaisonentrelagrille
desrequisdel’organisationetdel’analysedétailléedesdifférentsproduitssurlemarchéamené
àl’identificationetàunediscussiondesécartsentrelesrequisdel’entrepriseetl’offreactuelle
etsurlepotentieldesCASBpourmieuxcomblercesrequis(artefact#3).
Enplusderépondreauxtroisquestionsderechercheénoncéesdansl’introductiondumémoire,
l’étudeapermisderemplirlesdeuxobjectifsdelaméthodologiederechercheactiondesign.Ces
objectifsétaientderésoudreunproblèmeorganisationnelspécifiquegrâceàl’interventionainsi
quederéaliserdesartefactsquiformulentdesréponsesauproblèmerencontrédanslecontexte
particulierdel’organisation.
6.2SynthèsedesrésultatsLesrequisensécuritéinfonuagiquedel’organisationparticipantesontnombreuxetvariés.Les
facteursinfluençantl’identificationdecesrequisvarientselonl’industrie,maisaussipossiblement
selon lecontexteorganisationnel.Onpeutcependantcroirequ’unepartie lesrequis identifiés
128
danslemémoiresontquelquespeuuniversels,dumoinsdanslesorganisationsdel’industriede
lafinanceetdel’assurance.Àpartpourquelquesaspects,onatouteslesraisonsdecroireque
toutes les organisations de ce secteur ayant recours à l’infonuagique et qui possèdent des
caractéristiques les amenant à contempler les CASB souhaiteraient des fonctionnalités
semblables.Certainsdecesrequissontcouvertsparl’offreactuelledesfournisseursdesolutions
CASBalorsqued’autresnelesontquepartiellementoupasdutout.
PourcequiestdesrequisquisontcomblésparlesCASB,onnoteceuxassociésàlagestiondes
accès et des identités. L’augmentation du nombre de services infonuagiques utilisés dans
l’entreprise signifie aussi une augmentationdunombrede comptesd’utilisateur à gérer pour
chaqueemployé.DesoutilscommelesCASBdoiventdoncêtreenmesured’intégrerlespolitiques
degestiondesidentitésetdesaccès,depermettrelafédérationdesidentitésetlecontrôledes
accès basé sur le rôle (Role-based Access Control ou RBAC), le tout dans le but de faciliter
l’adoption et l’accès aux services infonuagiques.Généralement, les CASB utilise le RBAC pour
permettre ou pour interdire l’accès à certaines données confidentielles dont l’utilisation est
requiseparlesapplicationsinfonuagiques.
ParmilesautresrequisquisontremplisparlesCASB,ilyaceuxdevisibilitéetdel’identification
desapplicationsetdesappareilsutilisésparlesemployés.Onreconnaîtavanttoutl’importance
d’établir un inventaire des applications infonuagiques utilisées au sein de l’entreprise afin de
contrerlesrisquesassociésaushadowIT.Cetinventairepermetdefairedeschoixpluséclairés
en matière de gouvernance et de cibler davantage les processus de surveillance vers les
applicationslesplusàrisque.LesCASBétudiésproposenttousdesfonctionnalitésd’identification
d’applicationsinfonuagiquesquipermettentmême,danscertainscas,d’obteniruneévaluation
duniveauderisqueassociéàchacune.
Du côté des requis qui sont partiellement ou pas du tout comblés par les CASB, il y a les
fonctionnalités de surveillance des différents services et la collaboration entre le client et le
fournisseur.Cesdernièressontessentiellespourrépondrerapidementauxincidentsdesécurité
de l’information. Bien que cela ne soit pas typique à l’infonuagique, la surveillance dans ce
contextecomportecertainsdéfisparticuliersàcausedeladivisiondesresponsabilités.Unoutil
quipermettraitnonseulementdejournalisertouteslesactivitésetlesévénementsdesécurité
129
desservicesinfonuagiques,maisaussidecentraliserlesinformationsprovenantdecesdifférents
services est nécessaire. Cet outil de centralisation permettrait aux différentes équipes d’une
cellule de crise d’avoir accès rapidement à toutes les informations nécessaires lors d’un
événement compromettant la sécurité d’un service infonuagique. Les CASB actuels offrent
certainsmécanismesde journalisationoude surveillancedesactivités anormalesen lienavec
l’utilisation des services infonuagiques. Toutefois, ils sont bien loin d’offrir le niveau de
surveillancerequisdansuneinstitutiondudomainedelafinanceoudel’assuranceetprésentent
quelques lacunes. Ces lacunes sont comblées par les logiciels de gestion d’information et
d’événements de sécurité (Security Information EventManagement ou SIEM) qui offrent une
meilleureprotectiondanscedomaine.Malheureusement,lesCASB,telsqu’ilssontaujourd’hui,
àcausedeslimitesdeleursfonctionnalités,nesontpasenmesuredeconcurrencerlesSIEM.
Ensuite,toujoursparmilesrequispartiellementcomblés,ilyalechiffrement.Lechiffrementdes
donnéesutiliséesdansunenvironnementinfonuagiqueestunesolutionproposéeparplusieurs
expertsetorganismespourprotégerlesdonnéesconfidentiellesdesorganisations.Lesbesoins
en chiffrement augmenterontproportionnellement avec l’adoptionde services infonuagiques,
d’oùl’importancedesedoterd’outilsdèsmaintenant.PeudeCASBoffrentdesmécanismesde
chiffrementetceuxquienpossèdentn’offrentpasdestechnologiestoujoursacceptablesdupoint
devuedeleurrobustesse.
Dansladéfinitiondesproduitscomplexes,onretrouveledegrédecomplexitédesinteractions
entre les composantes du produit (Novak et Eppinger, 2001). Les CASB, étant composés de
plusieursmodules,n’yéchappentpas.Nonseulement,lesdifférentsmodules,qu’ilsproviennent
dumême fournisseur ou pas, doivent être compatibles entre eux,mais ils doivent aussi être
compatibles avec les autres composantes de l’infrastructure technologique de l’entreprise.
CommeaucundesCASBétudién’estenmesurederemplirtouslesrequisdel’entreprise,onpeut
imaginerqu’uneorganisationchoisissedesetournerversplusieursfournisseurspourcomblerses
requis.Lacompatibilitéestunbesoinessentielafindenepascauserdelatencedansl’utilisation
desservicesinfonuagiques,deréduirelalourdeurassociéeàl’exécutionmanuelledesprocessus,
d’assurer une protection optimale et de faciliter l’échange des données avec les autres
composantes.Considérantlatechnologiesous-jacenteauxCASB,ilestpossiblequecerequissoit
difficile à satisfaire, du moins pour l’instant parce que les résultats montrent une grande
130
variabilitédansleslogicielsdel’infrastructureaveclesquelsilssontcompatibles.Unmanquede
transparencedelapartdesfournisseursfaceàcettequestionaaussiétégrandementremarqué.
LesCASBpermettentdoncdecomblerplusieursdesbesoinsidentifiésensécuritédel’information
desapplicationsinfonuagiques,maissontencorelimités.Ilnefautpasoublierquelacollectede
donnéesdecetteétudeaétéinfluencéeparladéfinitionetlesfonctionnalitésactuellesdesCASB.
Dansunmondeidéal,cetteclassed’outilspermettraituneautomatisationcomplètedelagestion
desservicesinfonuagiques,touslestypesetlesmodesconfondus,maisenréalité,onestloinde
cetobjectif.LefaitquelenombredemodulesdisponiblessoitlimitéetquelesCASBneprotègent
quelesSaaS,parexemple,limitegrandementleurattraitpourlesorganisations.Deplus,lesCASB
sont de bons outils généralistes grâce à leurs multiples fonctionnalités réparties sous quatre
objectifsdesécurité,maisn’offrentpasbeaucoupdeprofondeurpourchacune.Lemarchédes
outilsetlogicielsdesécuritéestmature,contrairementàceluidesCASB.Ilestdoncdifficilede
voircommentlesCASB,dansleurformatactuel,pourrontêtrecompétitifspuisquelaplupartde
leursfonctionnalitésseretrouventdansdesproduitsdéjàenventesurlemarché.
Àlalumièredesrésultatsdumémoire,oncomprendquelesCASBsontloindereprésenterl’outil
quiviendrarésoudretouslesproblèmesdesécuritéinfonuagiqueauxquelssontconfrontéesles
entreprises. Ils sont encore émergents et ont donc un grand potentiel, pour peu que les
fournisseurslesdéveloppentenunissonaveclesbesoinsdeleursclientspotentiels.Laprochaine
section est consacrée aux contributions que cemémoire apporte et des pistes de recherches
futuresquipourraientcontribueràrendrecesoutilsencorepluspertinentspourlesorganisations
quisouhaitentlesadopter.
6.3ContributionsetpistesderecherchesfuturesLescontributionsfaitesdanscemémoiresontdedeuxordres,soitcellespourlapratiqueetcelles
pourlarechercheappliquée.
6.3.1ContributionsàlapratiqueConsidérantlanaturedelaméthodologiechoisiepourcemémoire,lescontributionspratiques
delarecherchesontnombreuses.SelonlaméthodologieRAD,lelivrableissudelarecherchetient
131
comptedesspécificitésdel’organisationàl’étudeet ils’intègredanssoncontexte(Seinetal.,
2011). Lagrilledes requisprésentéeauChapitre4correspondspécifiquementauxbesoinsde
l’entreprise à l’étude, mais la plupart de ces besoins sont généralisables à l’ensemble des
entreprisescanadiennesdelafinanceetdel’assurance.Inévitablement,lesentreprisesdecette
industrie ont beaucoupen communet utilisent plusieurs forumsd’échange sur la sécurité de
l’informationafind’apprendrelesunesdesautres.Lesinstitutionsdudomainen’ontpasavantage
àcequ’uncompétiteursoitlacibled’attaquesinformatiques(parcequecelaaffectetoutesles
entreprises de l’industrie) et elles misent donc sur la coopération, du moins en sécurité de
l’information.Ainsi,toutescesdiscussionspermettentauxmembresdel’organisationd’affirmer
quelaplupartdesgrandesorganisationsdecesecteurensontsensiblementaumêmepointdans
leurréflexionsurl’impartitioninfonuagiqueetquelesrésultatsdecemémoirepeuventlesaider,
delamêmefaçonqu’ilsaidentl’entrepriseparticipante.Toutefois,malgrédesbesoinsensécurité
semblablesauseindel’industrie, ladiscussion(Chapitre5)ajetélalumièresurl’influencedes
caractéristiquespropresàl’organisationlorsqu’onsouhaitetraduirelesbesoinsenrequispour
unCASB.Eneffet,d’autresfacteurscommelacomplexitédel’infrastructureTIdel’organisation,
samaturitéensécuritéetsa tailleontun impactsur les fonctionnalitéset lescaractéristiques
requisespourunCASB.
Ensecondlieu,lesentreprisesdansledomainedelafinanceetdel’assurancesonthautement
réglementéesauCanadaetellestraitentdesdonnéesfinancières,personnellesetconfidentielles
de leurs clients, de leurs employés et même de certains partenaires d’affaires. Le niveau de
protection qu’elles se doivent d’avoir pour ces données est très élevé puisque l’impact et le
préjudice en cas de bris de la confidentialité ou de l’intégrité des données risquent d’être
importants.Peud’industriesontdesnormesdeconfidentialitéaussiélevées,saufpeut-êtreles
domaines médical et militaire pour lesquels des brèches de sécurité peuvent avoir des
conséquencesdirectessurlaviedegens.Cestrois industries(médicale,militaireetfinancière)
représententdecefaittroisdescas«extrêmes»entermesderequisensécuritédel’information.
Lesautresorganisationsquinesontpasdanscesindustriesontdesrequismoindresquisontdes
sous-groupesdesrequispourlescas«extrêmes».Cesorganisations,peuvents’inspirerdeces
caspourencadrer leurutilisationde l’infonuagiqueetenapprendresur lepotentieldesCASB.
L’entrepriseparticipante, toutcommed’autresentreprisesdansdifférentssecteursd’activités,
132
avait un intérêt réel d’en apprendre davantage sur cette classe d’outils afin de comprendre
commentellepourraitl’aideràsoutenirsesprocessusdesécuritéinfonuagique.
Ilrevientàl’entreprisesousétudededéciderdeseprocurerounonunCASBàcourtouàmoyen
terme suite aux résultats de cette étude. Lemémoire a été l’occasionde l’informer sur cette
nouvelleclassed’outilsetdecernersesbesoinsensécuritéde l’informationdansuncontexte
d’impartitioninfonuagique.Cetinventairepermettradel’aideràmettreenplacedesrèglesde
gouvernance appropriées aux besoins en plus de faciliter l’acquisition de nouveaux services
infonuagiquesdanslefutur.L’étudeaaussipermisauxmembresdel’entrepriseetdeladirection
d’enapprendredavantagesurcettenouvelleclassed’outilsquiestenvogueetd’amorcerleur
réflexionquantàlanécessitédesedoterounond’unCASB.Elleapermisderépondreàplusieurs
deleursquestionssurlesujet,d’entamerladiscussionaveccertainsfournisseursdesolutionset
devoircertainsproduitsenactiongrâceàdesdémonstrations.Toutefois, leslimitesdesoutils
présentementoffertsont,dumoinsdansl’immédiat,conduitl’organisationparticipanteànepas
poursuivresonexplorationdesCASBcommeoutilspourcomblersesbesoinsdegestiondeses
servicesinfonuagiques.
6.3.2 Contributions à la recherche appliquée et pistes derecherchesfuturesD’unpointdevuedelarecherche,laprincipalecontributiondel’étudeestd’établirunmeilleur
cadre définissant la classe d’outils des CASB en faisant l’inventaire des fonctionnalités. Le
mémoire a permis de différencier les affirmationsmarketing des différents fournisseurs de la
réalité,cequicontribuaitàcréerde laconfusionautourde ladéfinitiondesCASB.Eneffet, le
mémoireapermisdeconstaterque,parmilavingtainedefournisseursclamantqueleurproduit
estunCASB,seulementdouzeremplissentlescritèresd’aumoinsdeuxdesquatreobjectifsque
sontsupposésaccomplirlesCASB.
EnplusducadrededéfinitiondesCASB,l’étudeestunpasverscequepourraitêtrelefuturde
cesoutilsafinqu’ilspuissentmieuxrépondreauxbesoinsdesorganisations.Leprésentmémoire
aexposélesbesoinsd’uncas«extrême»entermesdesécuritéinfonuagique.Ilaaussiexaminé
lapossibleinfluencedescaractéristiquesetducontexteorganisationnelslorsdel’identification
133
desrequisfonctionnelsettechnologiquespourunCASB.Quelquespistespourmieuxrépondre
aux besoins ont ensuite été proposées dans la discussion du Chapitre 5. Les points soulevés
permettraientde rendre lesCASBencorepluspertinentspour lesentreprisesqui cherchentà
centraliseretàautomatiserleursprocessusdesécuritédesservicesinfonuagiques.Forceestde
constaterquelesfournisseursontsimplementreprisdesfonctionnalités,généralementlesplus
accessiblesetfacilesàintégrer,quiexistaientdéjàetlesontproposéesdansunnouvelemballage.
Decefait,plusieursrequisfonctionnelsreprésententaujourd’huidegrandsdéfistechnologiques
quidoiventalimenterleschercheurseninformatique,encryptographieetengénielogiciel.
Parmi cesdéfis, le chiffrement représenteune limite importantepour lesCASBà causede sa
complexitétechniqueetdescoûtsquiysontrattachés.Lemémoireamisenlumièreunelimite
importantedesfaçonsdefaireactuellesquinepermettentpasdefairedesrecherchesoudetrier
desdonnéeschiffrées.Lechiffrementhomomorphiquereprésenteuneavenueintéressantepour
le développement d’outils de protection des données. Bien qu’actuellement le chiffrement
permettedeprotégerlesdonnéesutiliséesdansunenvironnementinfonuagique,ilestencore
coûteuxetparfoiscomplexeàmettreenplace,cequiapourrésultatquelesfournisseursetles
organisations sont confrontés à des choix difficiles lorsque vient le temps de décider quelles
méthodesdechiffrementdoiventêtreutiliséesetquellesdonnéesdoiventêtreprotégées.Ilest
certain que la pratique pourrait grandement bénéficier de la recherche en cryptographie qui
contribuerait aussi à rendre les services infonuagiques plus sécuritaires et attrayant pour les
entreprises.
Unautreaspecttechniquequipourraitprofiterdelarechercheestlafaçondontlesoutilsdetype
CASBsontimplantésdanslesorganisations.Larevuedelalittératureetlechapitredediscussion
ontpermisdesoulever les limitesassociéesàchacundesdeuxmodesdedéploiement,soit le
CASB en tant qu’intermédiaire vers l’API et le CASB en mode proxy. Les recherches futures
pourraient se pencher sur ces problèmes qui permettraient de grandes avancées dans le
développementd’outilsdeprotectionetferaitensortequecesoutilspuissentrépondredefaçon
plusadéquateauxbesoinsdesorganisations.
Finalement,en termesdegestion, lemémoiremeten lumière lesdéfisdegouvernanceetde
gestiondesservicesinfonuagiquesainsiqueladifficultéd’évaluerlessolutionsexistantes.Ilmet
134
en évidence le manque de modes d’évaluation des coûts concernant la gestion des services
infonuagiques et l’évaluation de la contribution potentielle des CASB à les minimiser. Les
entreprises sont aujourd’hui en carence d’outils méthodologiques qui pourraient les aider à
compléterundossierdejustificationpourunteloutil.
6.4Limitesdel’étudeFinalement,lemémoireacertaineslimitesqu’ilconvientdemettreenlumièreafinquelelecteur
aittouteslesinformationsnécessairespouravoirunregardcritiquesurlecontenududocument.
MalgrélarigueurdelaméthodologieRADproposéeparSeinetal.,saprincipalelimiteestqu’elle
nepermetd’étudierqu’uneseuleentreprise.Lesrequisprésentésdanslechapitrederésultats
sontceuxd’uneuniqueentreprisedumilieudelafinanceetdel’assurance.Bienquecertaines
généralisationspuissentêtrefaitesquantàcesrésultats, ilconvientdeconserverunecertaine
retenuelorsdeleurgénéralisation.D’ailleurs,ladiscussionmetenexerguecertainsfacteurs,tels
que la complexité de l’infrastructure, la maturité des processus de sécurité et la taille de
l’entreprise,quipourraientaussiavoiruneinfluencesurlesrequisdesécurité.Lavalidationdes
résultatsdansd’autresentreprisesdel’industrieetensuitedansd’autresorganisationsau-delà
decedomaineestàencouragerafindemieuxexplorerlaprotectionetlepotentieldesCASBdans
unevariétédecontextesorganisationnels.
Le sujetdesCASBest intéressantpour lesorganisationsetpour leschercheurspuisqu’il s’agit
d’une classe d’outils en pleine émergence. Toutefois, comme les CASB sont des produits très
nouveauxsurlemarché,l’informationàleursujetestlimitéeetdifficiled’accès.Laplupartdes
sourcesutiliséespourrédigerlasectionsurlesCASBdanslarevuedelalittératureauChapitre2
etdanslesrésultatsduChapitre4proviennentdesfournisseurseux-mêmes.Ilfautdoncutiliser
ces informations avec prudence et faire la distinction entre les allégations marketing et
l’informationobjective.Malgrélesprécautionspriseslorsdelarédactiondecemémoirepourne
pasoffrirdejugementbiaiséenversl’unoul’autredesfournisseurs,ilconvientd’avertirlelecteur
delanaturedessourcesconsultées.
Enlienaveclepointprécédent,lanouveautérelativedusujetdumémoireetl’évolutionrapide
dumarchédesCASBfontaussiensortequel’informationcontenuedanscemémoirepeutdevenir
135
rapidementdésuète.LesinformationssurlesfonctionnalitésdesdifférentsCASBprésentésdans
cemémoiresontexactesendated’août2016.Ellessontnéanmoinssujettesàchangementàtout
momentdelapartdesfournisseurs.
Enconclusion,aprèsavoircomplétécemémoire,oncomprendbienl’intérêtdesentreprisespour
cetteclassed’outilsquesontlesCASB.Ilconvenaitainsid’enexplorerlepotentiel.Lapopularité
grandissantedel’infonuagiquedansladernièredécennieaaussimisenévidencel’importancede
développer des mécanismes et des outils permettant d’assurer la sécurité de ces services.
Considérantque l’infonuagiqueapporteson lotdedéfisparticuliers, lesCASBontsouventété
décritscommeuneclassed’outilsquirévolutionneralagestiondelasécurité.Àlalecturedece
mémoire,onserendcomptequecetteperceptionaétégrandementinfluencéeparlediscours
desfournisseursdeCASBetque,mêmes’ilspermettentd’accomplircertainsobjectifsdesécurité,
ilssontencoreloindereprésenterunesolutiontousazimutspourassurerlasécuritédesservices
infonuagiques. Leur potentiel est cependant intéressant, pour peu que les fournisseurs
investissent davantage dans la recherche et le développement de fonctionnalités originales
répondant aux besoins actuels et futurs de sécurité des organisations. Avec la popularité
croissantedel’infonuagique,lesbesoinsengestiondelasécuritédecesapplicationsgrandiront
aussi.Étantdonnélemarchéactuel,ilestimpossibleaujourd’huideprévoirlefuturdecetteclasse
d’outils.
136
BibliographieRéférencesgénéralesAbRahman,N.H.etK.-K.R.Choo(2015).«Asurveyofinformationsecurityincidenthandlinginthe
cloud»,Computers&Security,vol.49,p.45-69.
Aceto,G.,A.Botta,W.DonatoetA.Pescapè(2013).«Cloudmonitoring:Asurvey»,ComputerNetworks,vol.57,no9,p.2093-2115.
Adams,C.(2011).«TrustedThirdParty»,dansH.C.A.vanTilborgetS.Jajodia(dir.),EncyclopediaofCryptographyandSecurity,NewYork,Springer,p.1416.
Aguiar,E.,Y.ZhangetM.Blanton(2013).«AnOverviewofIssuesandRecentDevelopmentsinCloudComputingandStorageSecurity»,dansJ.H.Keesook,C.Baek-YoungetS.Sejun(dir.),HighPerformanceCloudAuditingandApplications,NewYork,Springer,p.3-33.
AlMorsy,M.,J.GrundyetI.Müller(2010).«AnAnalysisoftheCloudComputingSecurityProblem»,Proceedingsof17thAsia-PacificSoftwareEngineeringConference(APSEC2010)CloudWorkshop.
Ali,M.,S.U.KhanetA.V.Vasilakos(2015).«SecurityinCloudComputing:OpportunitiesandChallenges»,InformationSciences,vol.305,p.357-383.
Ardagna,C.A.,R.Asal,E.DamianietQ.H.Vu(2015).«FromSecuritytoAssuranceintheCloud:ASurvey»,ACMComputingSurveys,vol.48,no1,p.2-50.
Armbrust,M.,A.Fox,R.Griffith,A.D.Joseph,R.H.Katz,A.Konwinski,G.Lee,D.A.Patterson,A.Rabkin,I.StoicaetM.Zaharia(2009).AbovetheClouds:ABerkeleyViewofCloudComputing,Berkeley,UniversityofCalifornia,Berkeley,23p.
Armbrust,M.,A.Fox,R.Griffith,A.D.Joseph,R.H.Katz,A.Konwinski,G.Lee,D.A.Patterson,A.Rabkin,I.StoicaetM.Zaharia(2010).«AViewofCloudComputing»,CommunicationsoftheACM,vol.53,no4,p.50-58.
Asghar,M.R.,M.Ion,G.RusselloetB.Crispo(2013).«ESPOONerbac:EnforcingSecurityPoliciesinOutsourcedEnvironments»,Computers&Security,vol.35,p.2-24.
Avram,M.G.(2014).«AdvantagesandChallengesofAdoptingCloudComputingfromanEnterprisePerspective»,ProcediaTechnology,vol.12,p.529-534.
Badger,L.,D.Bernstein,R.Bohn,F.deVaulx,M.Hogan,M.Iorga,J.Messina,K.Mills,E.Simmon,A.Sokol,J.Tong,F.WhitesideetD.Leaf(2014).SpecialPublication500-293:USGovernmentCloudComputingTechnologyRoadmap,Volume1&Volume2,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),140p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-293.pdf
Badger,L.,T.Grance,R.Patt-CorneretJ.Voas(2012).SpecialPublication800-146:CloudComputingSynopsisandRecommendations,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),81p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-146.pdf
137
Baker,L.B.(2016).SymantectoBuyBlueCoatfor$4.7BilliontoBoostEnterpriseUnit,Reuters.Consultéle19juillet2016dehttp://www.reuters.com/article/us-bluecoat-m-a-symantec-idUSKCN0YZ0BM
Ball,M.O.,C.J.ColbournetJ.S.Provan(1995).«Chapter11:Networkreliability»,dansHandbooksinOperationsResearchandManagementScience,vol.7,Amsterdam,Elsevier,p.673-762.
Baskerville,R.etM.D.Myers(2004).«SpecialIssueonActionResearchinInformationSystems:MakingISResearchRelevanttoPractice-Foreword»,MISQuarterly,vol.28,no3,p.329.
Benbasat,I.etR.W.Zmud(1999).«EmpiricalResearchinInformationSystems:ThePracticeofRelevance»,MISQuarterly,vol.23,no1,p.3-16.
Benbasat,I.etR.W.Zmud(2003).«TheIdentityCrisisWithintheISDiscipline:DefiningandCommunicatingtheDiscipline'sCoreProperties»,MISQuarterly,vol.27,no2,p.183-194.
Bitglass(2015).BitglassStandardEdition:Datasheet,Campbell,BitglassInc.,4p.Récupérédehttps://pages.bitglass.com/Cloud-Security-Solutions-Brief.html
Bitglass(2016a).TheDefinitiveGuidetoCloudAccessSecurityBrokers(whitepaper),Campbell,BitglassInc.,17p.Récupérédehttp://www.ciosummits.com/Online_Asset_Bitglass_White_Paper__The_Definitive_Guide_to_Cloud_Access_Security_Brokers.pdf
Bitglass(2016b).DiscoverRisksonYourNetwork,BitglassInc.Consultéle9juin2016dehttp://www.bitglass.com/shadow-it-and-breach-discovery
Bitglass(2016c).SecurelyEnableCloudStorageAcrossYourOrg.,BitglassInc.Consultéle9juin2016dehttp://www.bitglass.com/cloud-security
Bittman,T.J.(2016).WhenPrivateCloudInfrastructureIsn'tCloud,andWhyThat'sOkay,noG00302342,Stamford,Gartner,8p.
Borenstein,N.etJ.Blake(2011).«CloudComputingStandards:Where'stheBeef?»,IEEEInternetComputing,vol.15,no3,p.74-78.
Bradbury,D.(2014).«DoesCanadaNeedNIST?»,SecureComputingMagazine,noMai2014,p.C1-C3.
Brun,E.,A.SteinarSaetreetM.Gjelsvik(2009).«ClassificationofAmbiguityinNewProductDevelopmentProjects»,EuropeanJournalofInnovationManagement,vol.12,no1,p.62-85.
Buyya,R.,C.S.Yeo,S.Venugopal,J.BrobergetI.Brandic(2009).«CloudComputingandEmergingITPlatforms:Vision,Hype,andRealityforDeliveringComputingasthe5thUtility»,FutureGenerationComputerSystems,vol.25,no6,p.599-616.
Cavusoglu,H.,H.Cavusoglu,J.-Y.SonetI.Benbasat(2015).«InstitutionalPressuresinSecurityManagement:DirectandIndirectInfluencesonOrganizationalInvestmentinInformationSecurityControlResources»,Information&Management,vol.52,no4,p.385-400.
CensorNet(2016a).CensorNetUnifiedSecuritySolutionDatasheet,Basingstoke,CensorNetLtd,2p.Récupérédehttps://cdn.censornet.com/wp-content/uploads/2015/02/censornet_productsheet_2016_02_USS_commercial.pdf
138
CensorNet(2016b).UnifiedSecuritySolution,CensorNetLtd.Consultéle10juin2016dehttps://www.censornet.com/products/unified-security-service/
CensorNet(2016c).UnifiedSecuritySolution:Web[Datasheet],Basingstoke,CensorNetLtd,3p.Récupérédehttps://cdn.censornet.com/wp-content/uploads/2016/03/censornet_productsheet_2015_01_USS_webmodule.pdf
Chen,H.,M.A.ViolettaetC.J.Yang(2013).«ContractRBACinCloudComputing»,JournalofSupercomputing,vol.66,no2,p.1111-1131.
CipherCloud(2015a).CipherCloudforCloudDiscovery[Datasheet],SanJose,CipherCloudInc.,2p.Récupérédehttp://pages.ciphercloud.com/rs/ciphercloud/images/CipherCloud-for-cloud-discover-data-sheet.pdf
CipherCloud(2015b).GuidetoCloudDataProtection:Whitepaper,SanJose,CipherCloudInc.,32p.Récupérédehttp://pages.ciphercloud.com/Guide-to-Cloud-Data-Protection.html
CipherCloud(2016).CipherCloudforServiceNow[Datasheet],SanJose,CipherCloudInc.,2p.Récupérédehttp://pages.ciphercloud.com/rs/ciphercloud/images/DS-CC-SN.pdf
Cisco(2015).CiscoGlobalCloudIndex:ForecastandMethodology,2014–2019(Whitepaper),SanJose,Cisco,44p.Récupérédehttp://www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.pdf
Clark,D.etB.Laryea(2015).CiscotoBuyCloud-SecurityProviderCloudLock$293Million.,WallStreetJournal.Consultéle21septembre2016dehttp://www.wsj.com/articles/cisco-to-buy-cloud-security-provider-cloudlock-293-million-1467124386
CloudSecurityAlliance(2011).SecurityGuidanceforCriticalAreasofFocusinCloudComputing,v3,Seattle,CloudSecurityAlliance,176p.Récupérédehttps://downloads.cloudsecurityalliance.org/assets/research/security-guidance/csaguide.v3.0.pdf
CloudSecurityAlliance(2014).CloudControlsMatrix,CloudSecurityAlliance.Consultéle21mai2016dehttps://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
CloudSecurityAlliance(2016a).CloudSecurityAlliance:About,CloudSecurityAlliance.Consultéle21mai2016dehttps://cloudsecurityalliance.org/about/
CloudSecurityAlliance(2016b).CorporateMembers,CloudSecurityAlliance.Consultéle4septembre2016dehttps://cloudsecurityalliance.org/membership/corporate/
CloudSpecialInterestGroupetPCISecurityStandardsCouncil(2013).InformationSupplement:PCIDSSCloudComputingGuidelines,Wakefield,PCISecurityStandardsCouncil,44p.Récupérédehttps://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
CloudLock(2015b).DataEncryptionintheCloud:AHandyGuide[Whitepaper],Waltham,CloudLockInc.,12p.Récupérédehttp://www.cloudlock.com/wp-content/uploads/2014/10/CL_Data-Encryption-In-The-Cloud.pdf
CloudLock(2016a).TheCloudLockCybersecurityPlatform,CloudLockInc.Consultéle16juin2016dehttps://www.cloudlock.com/platform/
139
Coles,C.(2016a).HowCASBisDifferentfromWebProxy/Firewall,SkyhighNetworks.Consultéle2juillet2016dehttps://www.skyhighnetworks.com/cloud-security-blog/how-casb-is-different-from-web-proxy-firewall/
Coles,C.(2016c).TheTopCloudSecurityVendors,SkyhighNetworks.Consultéle4septembre2016dehttps://www.skyhighnetworks.com/cloud-security-blog/top-cloud-security-vendors/
Columbus,L.(2015).RoundupofCloudComputingForecastsandMarketEstimatesQ3Update,2015,Forbes.Consultéle5juin2016dehttp://www.forbes.com/sites/louiscolumbus/2015/09/27/roundup-of-cloud-computing-forecasts-and-market-estimates-q3-update-2015/-a3c68256c7ad
Cross,T.(2016).«TheFutureofComputing:AfterMoore'slaw»,TheEconomist,vol.418,no8980,p.11.
Cser,A.,S.S.BalaourasetP.Dostie(2015a).VendorLandscape:CloudAccessSecurityIntelligence(CASI)Solutions,Cambridge,ForresterResearch,21p.
Cser,A.,R.Holland,S.S.BalaourasetP.Dostie(2015b).Brief:TheEmergenceoftheCloudSecurityGateway,Cambridge,ForresterResearch,6p.
Damiani,E.,S.DeCapitanidiVimercati,S.Foresti,S.Jajodia,S.ParaboschietP.Samarati(2007).«SelectiveDataEncryptioninOutsourcedDynamicEnvironments»,ElectronicNotesinTheoreticalComputerScience,vol.168,p.127-142.
Dorey,P.G.etA.Leite(2011).«Commentary:Cloudcomputing–ASecurityProblemorSolution?»,InformationSecurityTechnicalReport,vol.16,no3&4,p.89-96.
Dwivedi,Y.K.etN.Mustafee(2010).«It'sUnwrittenintheCloud:theTechnologyEnablersforRealisingthePromiseofCloudComputing»,JournalofEnterpriseInformationManagement,vol.23,no6,p.673-679.
Elastica(2014).The7DeadlySinsofTraditionalDataLossPreventionintheNewWorldofShadowIT(whitepaper),SanJose,Elastica,Inc.,4p.Récupérédehttps://www.bluecoat.com/documents/download/4d97ec18-939a-4dbe-b033-d82deaa9cc72/44fbce36-f5a4-4fc3-a84e-089bf94cedd7
Elastica(2016a).TheCloudSOCPlatform,BlueCoatSystemsInc.Consultéle9juin2016dehttps://www.elastica.net/cloudsoc/
Elastica(2016b).EnablingDropboxforBusiness[Whitepaper],SanJose,BlueCoatSystemsInc.,13p.Récupérédehttp://dc.bluecoat.com/wp-dropbox/
Emison,J.M.(2013).CloudStandards:BottomUp,NotTopDown,InformationWeek.Consultéle20juillet2016dehttp://www.informationweek.com/cloud/infrastructure-as-a-service/cloud-standards-bottom-up-not-top-down/d/d-id/1108220?
Erl,T.,Z.MahmoodetR.Puttini(2013).CloudComputing:Concepts,Technology&Architecture,UpperSaddleRiver,PrenticeHall/Pearson,528p.
EuropeanTelecommunicationStandardsInstitute(2013).CloudStandardsCoordination:FinalReportv1.0,SophiaAntipolis,EuropeanTelecommunicationStandardsInstitute,59p.Récupérédehttp://www.etsi.org/images/files/events/2013/2013_csc_delivery_Ws/csc-Final_report-013-csc_Final_report_v1_0_pdF_format-.pdF
140
FireLayers(2016b).Platform,FireLayersInc.Consultéle15juin2016dehttps://www.firelayers.com/product/platform/
Gartner(2016).ITGlossary:Tokenization[siteweb],Gartner.Consultéle26octobre2016dehttp://www.gartner.com/it-glossary/tokenization
Goettelmann,E.,N.MayeretC.Godart(2013).«AGeneralApproachforaTrustedDeploymentofaBusinessProcessinClouds»,ProceedingsoftheFifthInternationalConferenceonManagementofEmergentDigitalEcoSystems,p.92-99.
Gordon,A.(2016).TheOfficial(ISC)²GuidetotheCCSPCBK,2eéd.,Indianapolis,Wiley,544p.
Green,T.(2016).ThePresidentWantstoSpend$3.1BilliontoJustUpgradeLegacySystems,CSO.Consultéle12février2016dehttp://www.csoonline.com/article/3031666/security/obama-s-new-cybersecurity-agenda-what-you-need-to-know.html
Gregor,S.etA.Hevner(2013).«PositioningandPresentingDesignScienceResearchforMaximumImpact»,MISQuarterly,vol.37,no2,p.337-355.
Hashizume,K.,D.G.Rosado,E.Fernández-MedinaetE.B.Fernandez(2013).«AnAnalysisofSecurityIssuesforCloudComputing»,JournalofInternetServicesandApplications,vol.4,no1,p.1-13.
Hassan,Q.F.(2011).«DemystifyingCloudComputing»,CrossTalk-TheJournalofDefenseSoftwareEngineering,noJan-Fev,p.16-21.
Heiser,J.(2015).DevelopingYourSaaSGovernanceFramework,noG00274895,Stamford,Gartner,12p.
Hevner,A.etS.Chatterjee(2010).DesignResearchinInformationSystems-TheoryandPractice,vol.22,NewYork,SpringerUS,coll.IntegratedSeriesinInformationSystems,335p.
Hevner,A.,S.T.March,J.ParketS.Ram(2004).«DesignScienceinInformationSystemsResearch»,MISQuarterly,vol.28,no1,p.75-105.
Iivari,J.(2007).«AParadigmaticAnalysisofInformationSystemsasaDesignScience»,ScandinavianJournalofInformationSystems,vol.19,no2,p.39-64.
Imperva(2016a).ImpervaSkyfenceCloudGateway,ImpervaInc.Consultéle15juin2016dehttp://www.imperva.com/Products/Skyfence
ISO(2016a).Membresdel'ISO,Organisationinternationaledenormalisation.Consultéle20juillet2016dehttp://www.iso.org/iso/fr/home/about/iso_members.htm?membertype=membertype_MB
ISO(2016b).Normes,Organisationinternationaledenormalisation.Consultéle20juillet2016dehttp://www.iso.org/iso/fr/home/standards.htm
ISO(2016c).QuiélaborelesnormesISO?,Organisationinternationaledenormalisation.Consultéle20juillet2016dehttp://www.iso.org/iso/fr/home/standards_development/who-develops-iso-standards.htm
ISO(2016d).Structureetgouvernance,Organisationinternationaledenormalisation.Consultéle20juillet2016dehttp://www.iso.org/iso/fr/home/about/about_governance.htm
141
ISO/CEI27001(2013).Technologiesdel'information-Techniquesdesécurité:Systèmesdemanagementdelasécuritédel'information-Exigences,Genève,Organisationinternationaledenormalisation/Commissionélectrotechniqueinternationale,23p.
ISO/CEI27002(2013).Technologiesdel'information-Techniquesdesécurité-Codedebonnepratiquepourlemanagementdelasécuritédel'information,Genève,Organisationinternationaledenormalisation/Commissionélectrotechniqueinternationale,80p.
ISO/CEI27017(2015).Informationtechnology-Securitytechniques-CodeofpracticebasedonISO/IEC27002forcloudservices,Genève,Organisationinternationaledenormalisation/Commissionélectrotechniqueinternationale,30p.
ISO/CEI27018(2014).Technologiesdel'information-Techniquesdesécurité-Codedebonnespratiquespourlaprotectiondesinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII,Genève,Organisationinternationaledenormalisation/Commissionélectrotechniqueinternationale,23p.
ISO/CEI(2016).DirectivesISO/IEC,Partie1:SupplémentISOconsolidé—Procéduresspécifiquesàl’ISO,Genève,Organisationinternationaledenormalisation/Commissionélectrotechniqueinternationale,180p.Récupérédehttp://www.iso.org/iso/fr/extrait_de_l_annexe_sl_2016_-7eme_edition_-hls_and_guidance
Jensen,W.etT.Grance(2011).SpecialPublication800-144:GuidelinesonSecurityandPrivacyinPublicCloudComputing,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),80p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-144.pdf
Johnson,A.M.(2009).«BusinessandSecurityExecutivesViewsofInformationSecurityInvestmentDrivers:ResultsfromaDelphiStudy»,JournalofInformationPrivacyandSecurity,vol.5,no1,p.3-27.
Juels,A.etA.Oprea(2013).«NewApproachestoSecurityandAvailabilityforCloudData»,CommunicationsoftheACM,vol.56,no2,p.64-73.
Kahol,A.(2015).CASBs:ABetterApproachtoCloudEncryption,Bitglass,Inc.Consultéle8juin2016dehttp://www.bitglass.com/blog/casbs_better_encryption
Kahol,A.,A.K.BhattacharjyaetB.N.Kausik(2013).Patent9047480:SecureApplicationAccessSystem[Brevet],États-Unis,Cessionnaire:Bitglass,Inc.Récupérédehttp://appft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PG01&p=1&u=/netahtml/PTO/srchnum.html&r=1&f=G&l=50&s1=20150039886.PGNR.
Kanwal,A.,R.Masood,M.A.ShiblietR.Mumtaz(2015).«TaxonomyforTrustModelsinCloudComputing»,TheComputerJournal,vol.58,no4,p.601-626.
Kapsalis,V.,L.Hadellis,D.KarelisetS.Koubias(2006).«ADynamicContext-awareAccessControlArchitecturefore-Services»,Computers&Security,vol.25,no7,p.507-521.
Kepes,B.(2014).BigNewsDayontheCloudApplicationSecurityFront,Forbes.Consultéle11juin2016dehttp://www.forbes.com/sites/benkepes/2014/01/28/big-news-day-on-the-cloud-application-security-front/-73d7775512d6
142
Kepes,B.(2016).UnderstandingtheCloudComputingStack:SaaS,PaaS,IaaS,RackspaceInc.Consultéle16juillet2016dehttps://support.rackspace.com/white-paper/understanding-the-cloud-computing-stack-saas-paas-iaas/
Khansa,L.etC.W.Zobel(2014).«AssessingInnovationinCloudSecurity»,JournalofComputerInformationSystems,vol.54,no3,p.45-56.
Kirti,G.(2016).WhyAPIsBeatProxiesforCloudSecurity,InfoWorld.Consultéle1juillet2016dehttp://www.infoworld.com/article/3087361/security/why-apis-beat-proxies-for-cloud-security.html
Kohgadai,A.(2016).17SalesforceDataSecurityBestPractices,SkyhighNetworks.Consultéle5septembre2016dehttps://www.skyhighnetworks.com/cloud-security-blog/17-must-enable-salesforce-security-capabilities-and-other-best-practices/
Kshetri,N.(2013).«PrivacyandsecurityIssuesinCloudComputing:TheRoleofInstitutionsandInstitutionalEvolution»,TelecommunicationsPolicy,vol.37,no4&5,p.372-386.
Laan,S.(2013).ITInfrastructureArchitecture-InfrastructureBuildingBlocksandConcepts,2eéd.,Raleigh,LuluPressInc.,436p.
Lawson,C.,N.MacDonaldetS.Deshpande(2015a).SelecttheRightCASBDeploymentforYourSaaSSecurityStrategy,noG00270559,Stamford,Gartner,16p.
Lawson,C.,N.MacDonaldetJ.Heiser(2015b).TechnologyOverviewforCloudAccessSecurityBroker,noG00269985,Stamford,Gartner,18p.
Lawson,C.,N.MacDonaldetB.Lowans(2015c).MarketGuideforCloudAccessSecurityBroker,noG00274053,Stamford,Gartner,19p.
Leong,L.,D.ToombsetR.Gill(2015).MagicQuadrantforCloudInfrastructureasaService,Worldwide,noG00278620,Stamford,Gartner,48p.
Leong,N.(2016).CloudAccessSecurityBrokersandMobileDeviceManagement:AYinandYangofCloudSecurity,ImpervaInc.Consultéle4septembre2016dehttps://www.skyfence.com/blog/cloud-access-security-brokers-and-mobile-device-management-a-yin-and-yang-of-cloud-security/
Lowans,B.(2016).ChoosingBetweenCloudSaaSandCASBEncryptionIsProblematic,noG00314973,Stamford,Gartner,9p.
Lowans,B.,J.HeiseretS.Buchanan(2016).UnsanctionedBusinessUnitITCloudAdoptionWillIncreaseFinancialLiabilities,noG00293279,Stamford,Gartner,9p.
MacDonald,N.etP.Firstbrook(2012).TheGrowingImportanceofCloudAccessSecurityBrokers,noG00233292,Stamford,Gartner,15p.
MacDonald,N.etC.Lawson(2015).HowtoEvaluateandOperateaCloudAccessSecurityBroker,noG00292468,Stamford,Gartner,20p.
Malinverno,P.(2014).BasicAPIManagementWillGrowintoApplicationServicesGovernance,noG00271064,Stamford,Gartner,7p.
Marston,S.,Z.Li,S.Bandyopadhyay,J.ZhangetA.Ghalsasi(2011).«Cloudcomputing:TheBusinessPerspective»,DecisionSupportSystems,vol.51,no1,p.176-189.
143
Mas,S.(2015).StevenBlaneyAnnouncesNewFundingforCyberSecurity,CanadianBroadcastingCorporation.Consultéle12février2016dehttp://www.cbc.ca/news/politics/steven-blaney-announces-new-funding-for-cyber-security-1.3163391
Mell,P.etT.Grance(2011).SpecialPublication800-145:TheNISTDefinitionofCloudComputing:RecommandationsoftheNationalInstituteofStandardsandTechnology,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),3p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf
Messmer,E.(2009).CloudSecurityAllianceFormedtoPromoteBestPractices,Reuters.Consultéle22mai2016dehttp://www.computerworld.com/article/2523598/security0/cloud-security-alliance-formed-to-promote-best-practices.html
Microsoft(2016a).CloudAppSecurityDatasheet,Redmond,MicrosoftCorporation,4p.Récupérédehttp://download.microsoft.com/download/C/E/3/CE357CE2-3A98-4493-BAEB-CEB13F333302/Cloud_App_Security_datasheet.pdf
Microsoft(2016b).Enableinstantvisibility,protectionandgovernanceactionsforyourapps,MicrosoftCorporation.Consultéle8juin2016dehttps://technet.microsoft.com/en-us/library/mt657563.aspx
Microsoft(2016c).Enterprise-gradeSecurityforYourCloudApps,MicrosoftCorporation.Consultéle4juin2016dehttps://www.microsoft.com/en-us/cloud-platform/cloud-app-security
Microsoft(2016d).HowCloudDiscoveryWorks,MicrosoftCorporation.Consultéle2août2016dehttps://technet.microsoft.com/en-us/library/mt725301.aspx
Microsoft(2016e).PriseenmaindumasquagededonnéesdynamiquesdebasededonnéesSQL(portailAzure),MicrosoftCorporation.Consultéle26octobre2016dehttps://azure.microsoft.com/fr-fr/documentation/articles/sql-database-dynamic-data-masking-get-started/
Microsoft(2016f).WhatIsaProxyServer?,MicrosoftCorporation.Consultéle17mai2016dehttp://windows.microsoft.com/en-gb/windows-vista/what-is-a-proxy-server
Mitnick,K.D.etW.L.Simon(2002).TheArtofDeception:ControllingtheHumanElementofSecurity,Indianapolis,Wiley,368p.
Mouratidis,H.,S.Islam,C.KalloniatisetS.Gritzalis(2013).«AFrameworktoSupportSelectionofCloudProvidersBasedonSecurityandPrivacyRequirements»,JournalofSystemsandSoftware,vol.86,no9,p.2276-2293.
Munteanu,V.I.,A.Edmonds,T.M.BohnertetT-F.Fortis(2014).«CloudIncidentManagement,Challenges,ResearchDirections,andArchitecturalApproach»,Proceedingsofthe2014IEEE/ACM7thInternationalConferenceonUtilityandCloudComputing,p.786-791.
Naone,E.(2011).HomomorphicEncryption,MITTechnologyReview.Consultéle19juillet2016dehttp://www2.technologyreview.com/news/423683/homomorphic-encryption/
Netskope(2016).HowNetskopeSecuresYourApps,NetskopeInc.Consultéle11juin2016dehttps://www.netskope.com/product/how-netskope-works/
NIST(2016).NISTGeneralInformation,NationalInstituteofStandardsandTechnology.Consultéle17avril2016dehttp://www.nist.gov/public_affairs/general_information.cfm
144
NISTCloudComputingStandardsRoadmapWorkingGroup(2013).SpecialPublication500-291,Version2:NISTCloudComputingStandardsRoadmap,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),113p.Récupérédehttps://www.nist.gov/sites/default/files/documents/itl/cloud/NIST_SP-500-291_Version-2_2013_June18_FINAL.pdf
NISTJointTaskForce(2013).SpecialPublication800-53:SecurityandPrivacyControlsforFederalInformationSystemsandOrganizations,Revision4,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),462p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Novak,S.etS.D.Eppinger(2001).«SourcingbyDesign:ProductComplexityandtheSupplyChain»,ManagementScience,vol.47,no1,p.189-204.
Orman,H.(2016).«BothSidesNow:ThinkingaboutCloudSecurity»,InternetComputing,vol.20,no1,p.83-87.
Ouedraogo,M.etH.Mouratidis(2013).«SelectingaCloudServiceProviderintheAgeofCybercrime»,Computers&Security,vol.38,p.3-13.
Overby,S.(2016).«ManagingtheMultivendorCloud»,CIO,noJanvier2016,p.27-29.
Paar,C.etJ.Pelzl(2009).UnderstandingCryptography:ATextbookforStudentsandPractitioners,Berlin,Springer,372p.
Palerra(2015a).LORICforOffice365:SolutionBrief,SantaClara,PalerraInc.,2p.Récupérédehttp://info.palerra.com/rs/palerra/images/solution-brief-loric-for-office-365.pdf
Palerra(2015b).LORIC:TheCloudSecurityAutomationPlatform[Datasheet],SantaClara,PalerraInc.,2p.Récupérédehttp://info.palerra.com/rs/palerra/images/DS_LORICOverview.pdf
Palerra(2016).LORIC,PalerraInc.Consultéle10juin2016dehttp://palerra.com/platform/
PaloAltoNetworks(2016a).Aperture,PaloAltoNetworks.Consultéle10juin2016dehttps://www.paloaltonetworks.com/products/secure-the-cloud/aperture
PaloAltoNetworks(2016c).ApertureSolutionBrief,SantaClara,PaloAltoNetworks,5p.Récupérédehttps://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/datasheets/aperture-at-glance
Patiniotakis,I.,Y.VerginadisetG.Mentzas(2015).«PuLSaR:Preference-basedCloudServiceSelectionforCloudServiceBrokers»,JournalofInternetServicesandApplications,vol.6,no26,p.1-14.
PCISecurityStandardsCouncil(2013).Normedescuritédesdonnéesdel'Industriedescartesdepaiement(PCI),v3.0,Wakefield,PCISecurityStandardsCouncil,135p.Récupérédehttps://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf
PonemonInstitute(2015).2015CostofDataBreachStudy:GlobalAnalysis,TraverseCity,PonemonInstitute,30p.Récupérédehttps://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF
145
PricewaterhouseCoopers(2014).WhyYouShouldAdopttheNISTCybersecurityFramework,London,PricewaterhouseCoopers,10p.Récupérédehttp://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/adopt-the-nist.pdf
PricewaterhouseCoopers(2015).TurnaroundandTransformation:KeyFindingsfromTheGlobalStateofInformationSecuritySurvey2016,London,PricewaterhouseCoopers,32p.Récupérédehttp://www.pwc.com/ca/en/consulting/publications/pwc-2016-01-20-turnaround-and-transformation-in-cybersecurity.pdf
Proctor,P.E.,K.Thielemann,E.PerkinsetK.Pratap(2016).BestPracticesinImplementingtheNISTCybersecurityFramework,noG00296149,Stamford,Gartner,12p.
Proffitt,B.(2013).WhatAPIsAreandWhyThey'reImportant,ReadWrite.Consultéle2juillet2016dehttp://readwrite.com/2013/09/19/api-defined/
Rebollo,O.,D.Mellado,E.Fernández-MedinaetH.Mouratidis(2015).«EmpiricalEvaluationofaCloudComputingInformationSecurityGovernanceFramework»,InformationandSoftwareTechnology,vol.58,p.44-57.
Reed,B.etB.Lowans(2016).CASBsMustNotBeDataSecurityIslands,noG00281086,Stamford,Gartner,9p.
RightScale(2015).StateoftheCloudReport,SantaBarbara,RightScaleInc.,31p.Récupérédehttp://assets.rightscale.com/uploads/pdfs/RightScale-2015-State-of-the-Cloud-Report.pdf
Riley,S.(2016).StayingSecureintheCloudIsaSharedResponsibility,noG00296799,Stamford,Gartner,12p.
Rizvi,S.,K.CoveretC.Gates(2014).«ATrustedThird-party(TTP)basedEncryptionSchemeforEnsuringDataConfidentialityinCloudEnvironment»,ProcediaComputerScience,vol.36,p.381-386.
Rojas,V.(2014).TheImportanceofFramingtheCloud,Organisationinternationaledenormalisation(ISO).Consultéle20juillet2016dehttp://www.iso.org/iso/news.htm?refid=Ref1897
Rong,C.,S.T.NguyenetM.G.Jaatun(2013).«BeyondLightning:ASurveyonSecurityChallengesinCloudComputing»,Computers&ElectricalEngineering,vol.39,no1,p.47-54.
Rountree,D.(2013).FederatedIdentityPrimer,Waltham,Elsevier/Syngress,96p.
Ryan,M.D.(2013).«CloudComputingSecurity:TheScientificChallenge,andaSurveyofSolutions»,JournalofSystemsandSoftware,vol.86,no9,p.2263-2268.
Salesforce(2016).SalesforceHelp:What'stheDifferenceBetweenClassicEncryptionandShieldPlatformEncryption?Consultéle5septembre2016dehttps://help.salesforce.com/HTViewHelpDoc?id=security_pe_comparison_table.htm&language=en_US
Scarfone,K.,M.SouppayaetP.Hoffman(2011).SpecialPublication800-125:GuidetoSecurityforFullVirtualizationTechnologies,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),35p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-125.pdf
146
Schuricht,M.etS.Hafid(2016).BeyondtheFirewall:SecuringtheCloudwithaCASB,[Vidéo],BrightTalk.Consultéle19juillet2016dehttps://www.brighttalk.com/webcast/10415/197745/beyond-the-firewall-securing-the-cloud-with-a-casb
Sein,M.,O.Henfridsson,S.Purao,M.RossietR.Lindgren(2011).«ActionDesignResearch»,MISQuarterly,vol.35,no1,p.37-56.
Silic,M.etA.Back(2014a).«InformationSecurity:CriticalReviewandFutureDirectionsforResearch»,InformationManagement&ComputerSecurity,vol.22,no3,p.279-304.
Silic,M.etA.Back(2014b).«ShadowIT–AViewfromBehindtheCurtain»,Computers&Security,vol.45,p.274-283.
Siponen,M.etR.Willison(2009).«InformationSecurityManagementStandards:ProblemsandSolutions»,Information&Management,vol.46,no5,p.267-270.
SkyhighNetworks(2015a).CloudAdoptionandRiskinFinancialServicesReport,Campbell,SkyhighNetworks,15p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/WP_Skyhigh_Cloud_Adoption_Risk_Report_Q4_2015.pdf
SkyhighNetworks(2015b).SkyhighDataSecurity[Whitepaper],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/SBSkyhighDataSecurity0116.pdf
SkyhighNetworks(2015c).SkyhighforShadowIT[Whitepaper],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/DS-Skyhigh-for-Shadow-IT.pdf
SkyhighNetworks(2016a).CloudAccessSecurityBroker,SkyhighNetworks.Consultéle10juin2016dehttps://www.skyhighnetworks.com/cloud-access-security-broker/
Sookasa(2016).TheNextVisionforCASB:API,Sookasa.Consultéle2juillet2016dehttps://www.sookasa.com/blog/next-vision-casb-api
Stanton,B.,M.TheofanosetK.P.Joshi(2015).SpecialPublication500-316:FrameworkforCloudUsability,Gaithersburg,NationalInstituteofStandardsandTechnology(NIST),18p.Récupérédehttp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-316.pdf
Takabi,H.,J.B.D.JoshietG.Ahn(2010).«SecurityandPrivacyChallengesinCloudComputingEnvironments»,IEEESecurity&Privacy,vol.8,no6,p.24-31.
Tang,C.etJ.Liu(2015).«SelectingaTrustedCloudServiceProviderforYourSaaSProgram»,Computers&Security,vol.50,p.60-73.
Tebaa,M.,S.ElHajjietA.ElGhazi(2012).«HomomorphicEncryptionMethodAppliedtoCloudComputing»,Proceedingsofthe2012NationalDaysofNetworkSecurityandSystems,p.86-89.
Thomas,A.etK.R.Moyer(2016).ArticulatingtheBusinessValueofAPIs,noG00291965,Stamford,Gartner,11p.
vonSolms,R.etJ.vanNiekerk(2013).«FromInformationSecuritytoCyberSecurity»,Computers&Security,vol.38,p.97-102.
147
vonSolms,S.H.etR.vonSolms(2009).InformationSecurityGovernance,NewYork,Springer,138p.
Waldrop,M.M.(2016).TheChipsAreDownforMoore'sLaw,NaturePublising.Consultéle17avril2016dehttp://www.nature.com/news/the-chips-are-down-for-moore-s-law-1.19338
Wang,H.,X.Yi,E.BertinoetL.Sun(2016).«ProtectingOutsourcedDatainCloudComputingthroughAccessManagement»,ConcurrencyandComputation:PracticeandExperience,vol.28,no3,p.600-615.
Waters,B.(2005).«SoftwareasaService:ALookattheCustomerBenefits»,JournalofDigitalAssetManagement,vol.1,no1,p.32-39.
Wright,R.(2015).BlueCoatMergesCASBswithWebGatewaySecurity,TechTarget.Consultéle19juillet2016dehttp://searchcloudsecurity.techtarget.com/news/4500258069/Blue-Coat-merges-CASBs-with-Web-gateway-security
Yi,X.,R.PauletetE.Bertino(2014).HomomorphicEncryptionandApplications,Cham,Springer,126p.
Zissis,D.etD.Lekkas(2012).«Addressingcloudcomputingsecurityissues»,FutureGenerationComputerSystems,vol.28,no3,p.583-592.
Référencesdestableaux4.2,4.3,4.4et5.1Bitglass(2015).BitglassStandardEdition:Datasheet,Campbell,BitglassInc.,4p.Récupéréde
https://pages.bitglass.com/Cloud-Security-Solutions-Brief.html
Bitglass(2016b).DiscoverRisksonYourNetwork,BitglassInc.Consultéle9juin2016dehttp://www.bitglass.com/shadow-it-and-breach-discovery
Bitglass(2016c).SecurelyEnableCloudStorageAcrossYourOrg.,BitglassInc.Consultéle9juin2016dehttp://www.bitglass.com/cloud-security
CensorNet(2016a).CensorNetUnifiedSecuritySolutionDatasheet,Basingstoke,CensorNetLtd,2p.Récupérédehttps://cdn.censornet.com/wp-content/uploads/2015/02/censornet_productsheet_2016_02_USS_commercial.pdf
CensorNet(2016b).UnifiedSecuritySolution,CensorNetLtd.Consultéle10juin2016dehttps://www.censornet.com/products/unified-security-service/
CensorNet(2016c).UnifiedSecuritySolution:Web[Datasheet],Basingstoke,CensorNetLtd,3p.Récupérédehttps://cdn.censornet.com/wp-content/uploads/2016/03/censornet_productsheet_2015_01_USS_webmodule.pdf
Centrify(2015).CentrifyPartnerswithLeadingCloudAccessSecurityBrokerstoEnhanceCloudSecurityforSaaSApplications[PressRelease],Centrify.Consultéle4novembre2016dehttps://www.centrify.com/about-us/news/press-releases/2015/centrify-partners-with-leading-cloud-access-security-brokers/
Chopra,R.(2014a).ProtectingDataintheCloudwithEncryption,NetskopeInc.Consultéle2août2016dehttps://www.netskope.com/blog/protecting-data-cloud-encryption/
148
Chopra,R.(2014b).SafeCloudEnablementinEMEA,NetskopeInc.Consultéle2août2016dehttps://www.netskope.com/blog/safe-cloud-enablement-emea/
CipherCloud(2015a).CipherCloudforCloudDiscovery[Datasheet],SanJose,CipherCloudInc.,2p.Récupérédehttp://pages.ciphercloud.com/rs/ciphercloud/images/CipherCloud-for-cloud-discover-data-sheet.pdf
CipherCloud(2015b).GuidetoCloudDataProtection:Whitepaper,SanJose,CipherCloudInc.,32p.Récupérédehttp://pages.ciphercloud.com/Guide-to-Cloud-Data-Protection.html
CipherCloud(2016).CipherCloudforServiceNow[Datasheet],SanJose,CipherCloudInc.,2p.Récupérédehttp://pages.ciphercloud.com/rs/ciphercloud/images/DS-CC-SN.pdf
CloudLock(2015a).TheCASB&CloudCybersecurityPlatform[Datasheet],Waltham,CloudLockInc.,5p.Récupérédehttps://www.cloudlock.com/wp-content/uploads/2015/01/CloudLock-Security-Fabric-Product-Sheet.pdf
CloudLock(2015b).DataEncryptionintheCloud:AHandyGuide[Whitepaper],Waltham,CloudLockInc.,12p.Récupérédehttp://www.cloudlock.com/wp-content/uploads/2014/10/CL_Data-Encryption-In-The-Cloud.pdf
CloudLock(2016a).TheCloudLockCybersecurityPlatform,CloudLockInc.Consultéle16juin2016dehttps://www.cloudlock.com/platform/
CloudLock(2016b).ComprehensiveSalesforceSecurity[SolutionBrief],Waltham,CloudLockInc.,2p.Récupérédehttps://www.cloudlock.com/wp-content/uploads/2016/05/Comprehensive-Salesforce-Security-DataSheet.pdf
CloudLock(2016c).Platform:HowItWorks,CloudLockInc.Consultéle23octobre2016dehttps://www.cloudlock.com/platform/how-it-works/
Coles,C.(2016b).NeweBook:WhichCASBDeploymentArchitectureisRightforMe?,SkyhighNetworks.Consultéle20novembre2016dehttps://www.skyhighnetworks.com/cloud-security-blog/new-ebook-which-casb-deployment-architecture-is-right-for-me/
Cser,A.,S.S.BalaourasetP.Dostie(2015a).VendorLandscape:CloudAccessSecurityIntelligence(CASI)Solutions,Cambridge,ForresterResearch,21p.
Elastica(2015a).AdaptiveSecurityforGoogleDrive[SolutionBrief],SanJose,ElasticaInc.,3p.Récupérédehttps://www.elastica.net/wp-content/uploads/2015/08/Elastica-SolutionBrief-GOOGLEDRIVE.pdf
Elastica(2015b).AdaptiveSecurityforOffice365[SolutionBrief],SanJose,ElasticaInc.,3p.Récupérédehttps://www.elastica.net/wp-content/uploads/2015/08/Elastica-SolutionBrief-OFFICE365.pdf
Elastica(2015c).ShadowITAssessment&MonitoringwithElasticaCloudSOC&Audit[SolutionBrief],SanJose,ElasticaInc.,8p.Récupérédehttps://www.elastica.net/wp-content/uploads/2015/07/Elastica_SolutionBrief_ShadowIT.pdf
Elastica(2016a).TheCloudSOCPlatform,BlueCoatSystemsInc.Consultéle9juin2016dehttps://www.elastica.net/cloudsoc/
Elastica(2016b).EnablingDropboxforBusiness[Whitepaper],SanJose,BlueCoatSystemsInc.,13p.Récupérédehttp://dc.bluecoat.com/wp-dropbox/
149
Elastica(2016c).SecurelyEnablingCloudAppswithElasticaCloudSOC&Gateway[SolutionBrief],SanJose,ElasticaInc.,8p.Récupérédehttps://www.elastica.net/wp-content/uploads/2016/03/Elastica_SolutionBrief_Gateway.pdf
FireLayers(2016a).FireLayers:PlatformReview[SolutionBrief],RedwoodCity,FireLayersInc.,4p.Récupérédehttps://www.firelayers.com/wp-content/uploads/2016/04/FireLayers-Overview-1-1-1.pdf
FireLayers(2016b).Platform,FireLayersInc.Consultéle15juin2016dehttps://www.firelayers.com/product/platform/
Imperva(2016a).ImpervaSkyfenceCloudGateway,ImpervaInc.Consultéle15juin2016dehttp://www.imperva.com/Products/Skyfence
Imperva(2016b).ImpervaSkyfenceCloudGateway[Datasheet],RedwoodShores,Imperva,4p.Récupérédehttps://www.skyfence.com/wp-content/uploads/2015/06/DS-Imperva-Skyfence-Cloud-Gateway.pdf
Lawson,C.,N.MacDonaldetB.Lowans(2015c).MarketGuideforCloudAccessSecurityBroker,noG00274053,Stamford,Gartner,19p.
Lawson,C.,N.MacDonald,B.LowansetB.Reed(2016).MarketGuideforCloudAccessSecurityBrokers,noG00293664,Stamford,Gartner,23p.
Microsoft(2016a).CloudAppSecurityDatasheet,Redmond,MicrosoftCorporation,4p.Récupérédehttp://download.microsoft.com/download/C/E/3/CE357CE2-3A98-4493-BAEB-CEB13F333302/Cloud_App_Security_datasheet.pdf
Microsoft(2016b).Enableinstantvisibility,protectionandgovernanceactionsforyourapps,MicrosoftCorporation.Consultéle8juin2016dehttps://technet.microsoft.com/en-us/library/mt657563.aspx
Microsoft(2016c).Enterprise-gradeSecurityforYourCloudApps,MicrosoftCorporation.Consultéle4juin2016dehttps://www.microsoft.com/en-us/cloud-platform/cloud-app-security
Microsoft(2016d).HowCloudDiscoveryWorks,MicrosoftCorporation.Consultéle2août2016dehttps://technet.microsoft.com/en-us/library/mt725301.aspx
Netskope(2015a).TheNetskopeActivePlatform:EnablingSafeMigrationtotheCloud[SolutionBrief],LosAltos,NetskopeInc.,6p.Récupérédehttp://go.netskope.com/rs/665-KFP-612/images/NS-Netskope-Platform-DS-00.pdf
Netskope(2015b).NetskopeCloudConfidenceIndex[SolutionBrief],LosAltos,NetskopeInc.,4p.Récupérédehttps://resources.netskope.com/h/i/40484891-netskope-cloud-confidence-index
Netskope(2016).HowNetskopeSecuresYourApps,NetskopeInc.Consultéle11juin2016dehttps://www.netskope.com/product/how-netskope-works/
Palerra(2015a).LORICforOffice365:SolutionBrief,SantaClara,PalerraInc.,2p.Récupérédehttp://info.palerra.com/rs/palerra/images/solution-brief-loric-for-office-365.pdf
Palerra(2015b).LORIC:TheCloudSecurityAutomationPlatform[Datasheet],SantaClara,PalerraInc.,2p.Récupérédehttp://info.palerra.com/rs/palerra/images/DS_LORICOverview.pdf
150
Palerra(2016).LORIC,PalerraInc.Consultéle10juin2016dehttp://palerra.com/platform/
PaloAltoNetworks(2016a).Aperture,PaloAltoNetworks.Consultéle10juin2016dehttps://www.paloaltonetworks.com/products/secure-the-cloud/aperture
PaloAltoNetworks(2016b).ApertureAdministrator’sGuide,SantaClara,PaloAltoNetworks,78p.Récupérédehttps://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/framemaker/aperture/aperture/Aperture_guide.pdf
PaloAltoNetworks(2016c).ApertureSolutionBrief,SantaClara,PaloAltoNetworks,5p.Récupérédehttps://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/datasheets/aperture-at-glance
SkyhighNetworks(2015b).SkyhighDataSecurity[Whitepaper],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/SBSkyhighDataSecurity0116.pdf
SkyhighNetworks(2015c).SkyhighforShadowIT[Whitepaper],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/DS-Skyhigh-for-Shadow-IT.pdf
SkyhighNetworks(2016a).CloudAccessSecurityBroker,SkyhighNetworks.Consultéle10juin2016dehttps://www.skyhighnetworks.com/cloud-access-security-broker/
SkyhighNetworks(2016b).CloudAccessSecurityBroker[Datasheet],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/DS-Skyhigh-Cloud-Security-Platform.pdf
SkyhighNetworks(2016c).SkyhighCompliance[SolutionBrief],Campbell,SkyhighNetworks,4p.Récupérédehttp://info.skyhighnetworks.com/rs/274-AUP-214/images/SBSkyhighCompliance0116.pdf
Tollefson,R.(2015).FirewallVendorPaloAltoNetworksEntersCrowdedField,ThirdCertainty.Consultéle30août2016dehttp://thirdcertainty.com/featured-story/firewall-vendor-palo-alto-networks-enters-crowded-field/
151
AnnexeA:Mots-clésutiliséspourlarechercheTableauA1:Mots-clésutiliséslorsdesrecherchesdanslesbasesdedonnées
Catégories Mots-clés
Sécuritédel’information
CybersecurityInfosecInformationconfidentialityInformationprivacyInformationsecurityInformationsecuritystandardsSecurityframeworkSecuritybreach
Infonuagique
CloudbenefitsCloudcomputingCloudcomplianceCloudframeworkCloudreviewCloudrisks/issuesCloudsecurityCloudtrustIaaSISO27001/ISO27002/ISO27017/ISO27018NISTPaaSSLASaaS
CASB
CASBCloudaccesssecurityCloudsecurityrequirementsCloudsecurityintelligenceEmergingsoftwarerequirementsEmergingtechnologyrequirementsProductambiguity*Productcomplexity*Productinnovation*
*Cesmots-clésontétéutilisésencombinaisonaveclestermescloudcomputingetinformationsecurity.
152
AnnexeB:LignesdirectricesdelaCloudSecurityAlliance
TableauB1:LeslignesdirectricesdelaCloudSecurityAlliance,version3
Section Description Exemplederecommandations
1.Architecturesous-jacenteàl’infonuagique
Définitiondel’infonuagique,destypesdeservicesetdesmodesd’implantation. • Aucune;cettesectionestinformative.
2.Gouvernanceetgestiondesrisques
Gestiondesrisquesassociésàl’infonuagique.Miseenplacedepolitiquesinternesetdecadresdegouvernancepourassurerlasécurité.
• Impliquerledépartementdesécuritéd’uneentreprisedansledéveloppementdesententesdeniveaudeservice(SLA).
• Miseenplacedenormesetdemesurespourévaluerleniveaudesécuritéduservice.
• Faireuneévaluationdesrisquesavantdesélectionnerunproduitouunfournisseur.
3.Questionsjuridiques:contratsetinvestigationélectronique
Problèmeslégauxliésàl’infonuagique.Inclutaussilesrequislégauxetdeconfidentialitéauxquelsdoiventsesoumettrelesentreprises(cettesectioncouvresurtoutlesloisaméricaines).
• Aucune;lesentreprisesdoiventseplierauxloisenvigueur.
4.Gestiondelaconformitéetdesaudits
Mécanismesdeconformité,desurveillanceetdecontrôledansuncontexteinfonuagique.
• Lesfournisseursdeservicesinfonuagiquesontsouventdescontratsstandardsquis’appliquentsansdistinctionàtouslesclients.Lesentreprisesquisonttenuesdeseconformeràplusieursloisetrèglementsdoiventtenterdenégociercescontrats.
• Mobiliserlesservicesd’auditeursexternesquiontuneconnaissancedel’infonuagique.
fTraductionlibredeCloudSecurityAlliance(2011)
TableauB1:LeslignesdirectricesdelaCloudSecurityAlliance,version3(suite)
153
Section Description Exemplederecommandations
5.Gestiondel’informationetsécuritédesdonnées
Gestiondesdonnéesinfonuagiques,incluantlaresponsabilitéetl’imputabilité.
• Comprendrel’architecturesous-jacenteaustockagededonnéesdansl’environnementinfonuagiqueafindedéterminerlesrisquesinhérentsensécurité.
• Utiliserdesmécanismesdeprotectioncontrelapertedesdonnées.• Chiffrertouteslesdonnéessensiblesquisontstockéesouutiliséesdansun
environnementinfonuagique.• Choisirunfournisseurquiesttransparentdanssespratiquesdesécurité.• Retirerlesdonnéesstockéeschezunfournisseurdeservicesdèsquelecontrat
vientàéchéance.
6.Interopérabilitéetportabilité
Lacapacitédetransférerlesdonnéesd’unfournisseuràunautreoubiendelesrapatrieràl’interne.Lesquestionsdecompatibilitéentrelesdifférentsfournisseurssontabordées.
• Utiliserlavirtualisationpourfaciliterl’intégrationentrelesdifférentescomposantesdel’infrastructure.
• Utiliserautantquepossibledesinterfacesdeprogrammationd’applicationslibres(open-source).
• Stockerlesdonnéesdansunformatfiableetstandard.• S’assurerquelesmécanismesd’authentificationfonctionnentpourtoutesles
plateformesetlesapplicationsinfonuagiquesafind’éviterlesmultiplesconnexionsoulesproblèmesdecompatibilité.
• S’assurerquelefournisseurfassefréquemmentdescopiesdesauvegardedesdonnées.
7.Sécuritétraditionnelle,continuitédesaffairesetrepriseaprèssinistre
Lesimpactsdel’infonuagiquesurlesprocessusactuelsengestiondelasécuritédel’organisation.
• Créeretmainteniràjourladocumentationliéeàl’analysedesrisquesetdesvulnérabilitésainsiquecelleliéeauxplansdecontinuité,auxplansderepriseaprèssinistreetdecontingence,auxplansdeformationensécurité,etc.
• Choisirunfournisseurquiestfiableettransparentdanssespratiquesdesécurité.
• Diversifierlesfournisseursdeservicesinfonuagiquesafindenepasdépendred’unseulfournisseur,surtoutencasdepannedeservice.
TableauB1:LeslignesdirectricesdelaCloudSecurityAlliance,version3(suite)
154
Section Description Exemplederecommandations
8.Exploitationdescentresdedonnées
Évaluationdel’architecture,desactivitésd’exploitationetdescentresdedonnéesdesfournisseursdeservicesafind’identifierlescaractéristiquesessentiellesdesécurité.
• S’assurerdesbonnespratiquesdufournisseur.• Faireattentionàlalocalisationgéographiqueducentrededonnées.• Bienétablirlesresponsabilitésentrelefournisseurquigèrelecentrede
donnéesetleclient.
9.Gestiondesincidents
Processusdedétection,degestionetdepréventiondesincidentsdansuncontexteinfonuagique.Inclutladivisiondesresponsabilitésentreleclientetlefournisseurdanscessituations.
• Créeretmaintenirdescanauxdecommunicationaveclefournisseur.• Comprendreleserviceoffertparlefournisseurencasd’incident.• Préparerdesstratégiesdegestiondesincidents.• Obtenirl’historiquederéponsesauxincidentsdufournisseur.
10.Sécuritédesapplications
Utilisationetdéveloppementd’applicationsdefaçonsécuritairedansunenvironnementinfonuagique.
• Faireuneévaluationdesrisquesspécifiquesaudéveloppementetàl’utilisationd’applicationsinfonuagiques.
• Prioriserlesrequisensécuritéetenconfidentialitélorsdudéveloppement.• S’assurerdelatraçabilitéentrelesrisquesidentifiésetlesfonctionnalitésdes
applications.• Utiliseroudévelopperuncadred’architecturesécuritaire.
11.Chiffrementetgestiondesclésdechiffrement
Identificationdesmeilleurespratiquesenmatièredechiffrementetdegestiondesclés.
• Mettreenplacelesmeilleurespratiqueslorsdel’utilisationdeméthodesdechiffrement.
• Utiliserunetechnologieprêteàl’emploiplutôtqu’unesolutionpersonnalisée.• Gérersoi-mêmesesclésdechiffrementoubiensetournerversunfournisseur
deconfiancespécialisédansledomaine.
12.Gestiondel’identité,desdroitsetdesaccès
Mécanismesd’authentificationpourlesservicesinfonuagiques.
• Leprincipalrépertoiredesutilisateursdel’entreprisenedevraitpasêtresituédansunenvironnementinfonuagique.
• Maintenirdesjournauxdesconnexionsetdesauthentifications.
TableauB1:LeslignesdirectricesdelaCloudSecurityAlliance(suiteetfin)
155
Section Description Exemplederecommandations
13.VirtualisationRisquesassociésàlavirtualisation,unetechnologietrèsutiliséeeninfonuagique.
• Identifierletypedevirtualisationutiliséparlefournisseur.• Prendreenconsidérationleslimitesentermesdeperformancelorsde
l’utilisationdelavirtualisation.• Choisirunsystèmed’exploitationvirtuelquiincorporedesfonctionnalitésde
sécurité.• Lesenvironnementsdeproductiondoiventêtreséparésdesenvironnementsde
développementetdetest.
14.Security-as-a-Service
Utilisationdesservicesd’unetiercepartieafind’assurerlasécuritéinfonuagiqued’uneorganisationetlesrisquesquecelaimplique.
• S’assurerdemettreenplacedescanauxdecommunicationsécuritaires.• L’entreprisedevraitexigerdesauditsfaitsparunetiercepartie.
156
AnnexeC:NormesISO/CEI27017et27018
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePIIg
Article Recommandations
5.Politiquesdesécuritédel’information33
ISO/CEI27017
• Leclientdoittenircomptedesélémentssuivantslorsdel’élaborationdesespolitiquesensécuritédel’informationinfonuagique:o Lesdonnéesstockéeschezlefournisseurdeservicesinfonuagiqueso Lagestiondesactifsdansunenvironnementinfonuagiqueo Lesimpactsdelacolocationetdelavirtualisationo Lesutilisateursetlecontexted’utilisationdesserviceso Lesadministrateursetlescomptesàaccèsprivilégiéo Lalocalisationgéographiqueoùlesdonnéessontstockées
ISO/CEI27018
• Lespolitiquesdesécuritédel’informationdoiventfaireétatdel’engagementdel’organisationàseconformerauxloisetauxclausescontractuellesentrecelle-cietlefournisseurinfonuagiquetraitantdesdonnéespersonnelles.
• Lesclausescontractuellesdoiventclairementidentifierlesresponsabilitésentrelefournisseurtraitantdesdonnéesconfidentielles,sessous-contractantsetleclientselonletypedeservicesinfonuagiques(IaaS,PaaSouSaaS).
gTraductionlibredeISO/CEI27017(2015);ISO/CEI27018(2014)
33Seulslesarticlespertinentspourleclientdeservicesinfonuagiquessontprésentésdanscetableau.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suite)
157
Article Recommandations
6.Organisationdelasécuritédel’information
ISO/CEI27017
• Leclientetlefournisseurdoivents’entendresurlesrôlesetlesresponsabilitésdechacun.ISO/CEI27018
• Aucunnouveaucontrôlenes’applique.
7.Lasécuritédesressourceshumaines
ISO/CEI27017
• Desprogrammesdeformationetdesensibilisationsurlasécuritéinfonuagiquedoiventêtremisenplaceparleclient.• Leclientdoitajouterlesélémentssuivantsàsesprogrammesdeformationpourlesemployésquiutilisentlesservices
infonuagiques:o Normesetprocédurespourl’utilisationdesservicesinfonuagiqueso Lesrisquesdesécuritédel’informationliésauxservicesinfonuagiqueso Lesrisquesliésauxsystèmesetauréseauutilisésenmodeinfonuagiqueo Lesconsidérationslégales
ISO/CEI27017
• Desmesuresdoiventêtremisesenplacepours’assurerquelesemployésduclientsoientsensibilisésauxconséquencesd’unebrèchedeconfidentialitédesdonnéespersonnellestraitéesparunfournisseurd’infonuagiquepublique.
8.Gestiondesactifs
ISO/CEI27017
• Lesactifsetl’informationstockéedanslesservicesinfonuagiquesduclientdoiventêtreidentifiésetrépertoriés.Deplus,cetinventairedoitmentionnerdansquelsdépartementsilssontutilisés.
ISO/CEI27018
• Aucunnouveaucontrôlenes’applique.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suite)
158
Article Recommandations
9.Contrôled’accès
ISO/CEI27017
• Lespolitiquesdecontrôleetd’accèsduclientauréseaudoiventspécifierlesrequispourl’accèsdesutilisateurspourchacundesservicesinfonuagiquesutilisés.
• Leclientdoitavoirdesmécanismesd’authentificationsuffisants(ex:identificationmulti-facteur)pourl’authentificationdesgestionnairesdeservicesinfonuagiquesselonleniveauderisqueidentifié.
• Leclientdoitvérifierquelesprocéduresd’allocationd’informationliéesauxidentitésremplissentlesrequisdeconfidentialitéduclient.
• Leclientdoits’assurerquel’accèsàl’informationstockéedanslesservicesinfonuagiquesestrestreintselonsespolitiquesdegestiondesaccès.
ISO/CEI27018
• Selonletypedeservicesinfonuagiques,ilestpossiblequeleclientsoitresponsabled’unepartieoudetoutelagestiondesaccèsdesutilisateurssoussoncontrôle.Sitelestlecas,lefournisseurtraitantdesdonnéespersonnellesdoitpermettreauclientdegérerlesaccèsdesutilisateurssoussoncontrôle,incluantlesprivilègesadministratifsliésàlagestionetàlasuppressiondesaccès.
• Lesprocessusdecréationoudesuppressiond’utilisateursdoiventprévoirdesdispositionspourlessituationsdanslesquelleslesaccèssontcompromis.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suite)
159
Article Recommandations
10.Chiffrement
ISO/CEI27017
• Leclientdoitmettreenplacelechiffrementpourlesservicessicelaestjustifiablesuiteàuneanalysederisque.Lechiffrementdoitêtresuffisantpourmitigerlesrisquesidentifiés.
• Lorsquelechiffrementestfaitparlefournisseur,leclientdoitrévisertouteinformationtransmiseparlefournisseurafindeconfirmerquelechiffrement:o Rencontrelesrequisducliento Estcompatibleaveclesautresprotectionsdechiffrementutiliséesparlecliento S’appliqueauxdonnéesaureposetentransitdepuisetversleserviceinfonuagique
• Leclientdoitidentifierlesclésdechiffrementpourchaqueserviceinfonuagiqueetmettreenplaceunprocessusdegestiondesclés.
• Lorsquelescléssontgéréesparlefournisseur,leclientdoitexigerl’informationsuivante:o Letypedecléo Lesspécificationsliéesausystèmedegestiondescléso Lesprocessusdegestionducycledeviedesclés
• Leclientnedoitpaspermettreaufournisseurdestockeretdegérerlesclésdechiffrementlorsqueleclientgèrelui-mêmesesclésouutiliseunetiercepartiepourlagestiondesesclés.
ISO/CEI27018
• Aucunnouveaucontrôlenes’applique.
11.Sécuritéphysiqueetenvironnementale
ISO/CEI27017
• Leclientdoitexigerlaconfirmationquelefournisseuramisenplacelesprocessusetlespolitiquesnécessairespourdisposerouréutiliserlesressourcesdefaçonsécuritaire.
ISO/CEI27018
• Dansuneperspectivederecyclageoudedestructionsécurisé,toutéquipementsusceptibledecontenirdesdonnéespersonnellesdoitêtretraitédelamêmefaçonqu’unéquipementcontenantdesdonnéespersonnelles.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suite)
160
Article Recommandations
12.Sécuritéliéeàl’exploitation
ISO/CEI27017
• Lesprocessusdegestionduchangementduclientdoiventtenircomptedel’impactdeschangementsfaitsducôtédufournisseur.
• Leclientdoits’assurerqueleniveaudeservicedel’ententeestbienrespectéparlefournisseur.• Leclientdoitsurveillerl’utilisationdesservicesinfonuagiquesetplanifiersesbesoinsentermesdecapacitéafindes’assurer
delaperformancedesservicesinfonuagiquedansletemps.• Leclientdoitdéfinirlesrequispourlesjournauxd’événementsets’assurerquelefournisseurremplissecesrequis.• Leclientdoitexigerdel’informationdufournisseurconcernantsagestiondesvulnérabilitésquipeuventaffecterleservice
fourni.Leclientdoitidentifierlesvulnérabilitéspourlesquelleslefournisseurestresponsableetdéfinirunprocessuspourlesgérer.
ISO/CEI27018
• Lorsquel’utilisationdedonnéespersonnellesàdesfinsdetestestinévitable,uneanalysederisquedoitêtreeffectuée.Desmesuresdoiventêtremisesenplacepourminimiserlesrisquesidentifiés.
• Desprocessusdoiventêtremisenplacepourpermettrelarestaurationdesactivitésdetraitementdedonnéespersonnellessuiteàunévénementperturbateur.
• Unprocessusderévisiondesjournauxd’événementsdoitêtremisenplaceàunefréquencerégulièreafind’identifierlesanomaliesetpourproposerdesmoyensderemédiation.
• L’informationjournaliséeàdesfinsdesurveillanceetdediagnosticopérationnelpourraitcontenirdesdonnéespersonnelles.Desmesuresdecontrôledoiventêtremisesenplacepours’assurerquel’informationjournaliséen’estutiliséequ’auxfinsprévues.
• Uneprocédure,préférablementautomatisée,doitêtremiseenplacepours’assurerquel’informationjournaliséeestsuppriméedansdesdélaisprécisetdocumentés.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suite)
161
Article Recommandations
13.Sécuritédescommunications
ISO/CEI27017
• Leclientdoitdéfinirsesrequispourlaségrégationdesréseauxafindes’assurerdel’isolationdel’environnementpartagéetildoits’assurerquelefournisseurremplissecesrequis.
ISO/CEI27018
• Lorsqu’unsupportphysiqueestutilisépourtransférerdesdonnéespersonnelles,unsystèmedoitêtremisenplacepourenregistrerl’informationconcernantcesupport.Lorsquepossible,leclientdoitmettreenplacedesmesuresadditionnellesenplace(telquelechiffrement)pours’assurerquelesdonnéesneserontaccédéesqu’àladestinationetnonentransit.
14.Acquisition,maintenanceetdéveloppementdessystèmesd’information
ISO/CEI27017
• Leclientdoitétablirsesrequisensécuritédel’informationpourlesservicesinfonuagiquesets’assurerquelefournisseursoitenmesuredelesremplir.Pourcetteévaluation,leclientdoits’informerauprèsdufournisseursursescapacitésensécuritédel’information.
• Leclientdoitdemanderaufournisseurdel’informationsurlasécuritédesesprocessusdedéveloppement.ISO/CEI27018
• Aucunnouveaucontrôlenes’applique.
15.Relationsaveclesfournisseurs
ISO/CEI27017
• Leclientdoitinclurel’infonuagiqueentantquetypedefournisseurdanssapolitiquesurlesrelationsaveclesfournisseurs.Celaaideraàmitigerlesrisquesassociésàlagestiondesdonnéesetàl’accèsqu’ontlesemployésdufournisseurauxdonnéesduclient.
• Leclientdoitconfirmeraveclefournisseurlesrôlesetresponsabilitésenlienavecleserviceinfonuagique.ISO/CEI27017
• Aucunnouveaucontrôlenes’applique.
TableauC1 : Les recommandationsde lanorme ISO/CEI27017:Codedepratiquepour les contrôlesdesécuritéde l'information fondéssur
l'ISO/IEC27002pourlesservicesdunuageetdelanormeISO/CEI27018:Techniquesdesécurité-Codedebonnespratiquespourlaprotection
desinformationspersonnellesidentifiables(PII)dansl'informatiqueennuagepublicagissantcommeprocesseurdePII(suiteetfin)
162
Article Recommandations
16.Gestiondesincidentsliésàlasécuritédel’information
ISO/CEI27017
• Leclientdoitdemanderdel’informationdufournisseurconcernantlesmécanismespour:o Lesignalementd’événementsensécuritédel’informationdétectésdanslesservicesdufournisseuro Latransmissionderapportsd’événementsprovenantdufournisseuro Lesuividustatutd’unévénementdéclaré
• Leclientetlefournisseurdoivents’entendresurlaprocédureencasdedemanded’investigationnumérique(electronicdiscovery)del’informationcontenuedansl’environnementinfonuagique.
ISO/CEI27018
• Ilestpossiblequelefournisseurtraitantdesdonnéespersonnellesaitàcollaboreravecleclientafind’implanterlescontrôlesdesonprocessusdegestiondesincidents.
17.Aspectdelasécuritédel’informationdanslagestiondelacontinuitédel’activité
• Aucunnouveaucontrôlenes’appliquespécifiquementàl’infonuagique.
18.Conformité
ISO/CEI27017
• Leclientdoitconsidérerquelesloisetlesrèglementsquis’appliquentpeuventêtreceuxdelajuridictiondufournisseurdeservicesenplusdeceuxdelajuridictionduclient.
• Leclientdoitexigerdufournisseurqu’ilsesoumetteauxloisetrèglementsauxquelsleclientestassujettidanslecadredesesactivités.
• L’installationd’unlogicielcommercialdansunenvironnementinfonuagiquepeutcauseruneviolationdelalicenced’utilisation.Leclientdoitavoirdesprocessuspouridentifierlesspécificitésdeslicencesliéesauxservicesinfonuagiquesavantd’autoriserl’installationd’unlogicieldansunenvironnementinfonuagique.
• Leclientdoitexigerdufournisseurdel’informationconcernantlaprotectiondesdonnéesstockéesparlefournisseur.• Leclientdoits’assurerquel’ensembledescontrôlesdechiffrementutiliséssontconformesauxententes,auxloisetaux
règlementspertinents.ISO/CEI27018
• Aucunnouveaucontrôlenes’applique.
163
AnnexeD:RecommandationsduNIST
TableauD1:PublicationsspécialesduNISTtraitantdel'infonuagiqueh
hTraductionlibredespublicationsspécialesduNIST.
Titredespublications Description Recommandationsspécifiquesàlasécuritéinfonuagique
SP500-291v2:NISTCloudComputingStandardsRoadmap(2013)
Guidepouraiderlegouvernementaméricaindansl’adoptionsécuritaireetefficacedel’infonuagique.
• Protégerlesdonnéesdesclientsdel’accès,deladivulgation,delamodificationoudelasurveillancenonautorisés.
• Empêcherl’accèsnonautoriséàl’infrastructureetauxressourcesinfonuagiques.Celainclutlaséparationlogique(grâceàlavirtualisation)entrelesressourcesetl’utilisationdeconfigurationssécuritaires.
• Prendredesmesurespourprotégerleslogicielsdenavigationwebutilisésdansl’environnementinfonuagiquepourmitigerlesvulnérabilitésensécuritéducôtédel’utilisateur.
• Incluredescontrôlesd’accèsetdessolutionsdedétectionetdepréventiondansl’environnementinfonuagiqueenplusdemenerdesévaluationsindépendantespours’assurerquelessolutionssontbieninstalléesetfonctionnelles.
• Définirlafrontièredeconfianceentreleclientetlefournisseurafindes’assurerquelesresponsabilitésentermesdecontrôlesdesécuritésontclairementidentifiées.
TableauD1:PublicationsspécialesduNISTtraitantdel'infonuagique(suite)
164
Titredespublications Description Recommandationsspécifiquesàlasécuritéinfonuagique
SP500-293:USGovernmentCloudComputingTechnologyRoadmap(2014)
Recommandationsdehautniveaupourfaciliterl’adoptiondel’infonuagiqueauseindugouvernementaméricain.
• Lesapplicationsinfonuagiquesdoiventêtreintégréesauprocessusdegestiondesidentitésetdesaccèsdel’organisation.
• Unesolutiond’authentificationuniquedoitêtreadoptéepourfaciliterl’accèsauxservicesinfonuagiquesetéviterlesmultiplesauthentifications.
• Pourlesapplicationssensibles,uneauthentificationforte(p.ex.authentificationmulti-facteur)doitêtreadoptée.
• Uneinterfacestandarddegestiondesaccèsdoitêtremiseenplacepourfaciliterlagestiondesservices.
• Lesdonnéesaureposquisontconsidéréescommesensiblesdoiventêtrechiffrées.Lesclésdoiventêtremodifiéesrégulièrement.
• Lesdonnéesentransitquisontconsidéréescommesensiblesdoiventêtrechiffrées.• Dansunenvironnementencolocationoùlesressourcesinfonuagiquessontpartagées,lesclés
nedoiventpasêtreaccessiblesaufournisseur,niauxautresclients.• Touteslesdonnéesliéesauxservicesinfonuagiquesdoiventêtretransmisesauclientàlafindu
contratetlefournisseurdoitsupprimerlesdonnéesdesessystèmes.
SP500-316:FrameworkforCloudUsability(2015)
Cadrederéférencepourl’expérienceutilisateurdansuncontexteinfonuagique.
• S’assurerqueleserviceinfonuagiquesoitrésistantauxattaquesd’utilisateursnonautorisés,desautresservicesinfonuagiques,deslogicielsmalveillantsetdesattaquessurlematérieletparInternet.
• S’assurerqueleserviceinfonuagiquenepermettepasauxutilisateursnonautorisésd’avoiraccèsauxdonnées.
SP800-125:GuidetoSecurityforFullVirtualizationTechnologies(2011)
Recommandationspourmitigerlesrisquesdesécuritéassociésàlavirtualisationdesserveursetdespostesdetravail.
• Rendretouslesélémentsdelavirtualisationsécuritairesetmaintenirleurniveaudesécurité.• Restreindrelesprivilègesetlesaccèsàlasolutiondevirtualisationseulementauxemployés
autorisés.• S’assurerdelasécuritédel’hyperviseur.• Créerunplandesécuritépourlavirtualisationavantl’installation,laconfigurationetle
déploiementdelasolution.
TableauD1:PublicationsspécialesduNISTtraitantdel'infonuagique(suiteetfin)
165
Titredespublications Description Recommandationsspécifiquesàlasécuritéinfonuagique
SP800-144:GuidelinesonSecurityandPrivacyinPublicCloudComputing(2011)
Donneunevued’ensembledel’infonuagiquepubliqueetdesrisquesdesécuritéqu’elleimplique.
• Planifieravecminutielesaspectsdesécuritéetdeprotectiondelavieprivéeassociésauxservicesinfonuagiques,avantdelesmettreenplace.
• S’assurerquelasolutionchoisiecorrespondeauxrequisensécuritédel’organisation.• Mettreenplacedesmécanismesd’auditpours’assurerdelaconformitédespratiquesde
sécuritédufournisseuràcellesdel’organisation.• Établirclairementlaresponsabilitéetlesdroitsparrapportauxdonnées.• Mettreenplaceunprogrammedegestiondesrisquesquipourras’adapteràl’évolutionde
l’environnementinfonuagique.• Surveillerconstammentl’étatetlasécuritédusystème.• S’assurerqu’unprocessusdegestiondesincidentstransparentestenplacechezlefournisseur.
SP800-146:CloudComputingSynopsisandRecommendations(2012)
Documentrécapitulatifsurladéfinitionetlescaractéristiquesdel’infonuagiqueetlesopportunitésetrisquesassociés.
• S’assurerquelesmécanismesdeprotectiondesdonnéesetlestechnologiesassociéesàlasolutionremplissentlesexigencesdesécuritéduclient.
• Mettreenœuvredesmécanismesdeprotectiondesappareilsutiliséspouraccéderauxservicesinfonuagiques.
• S’assurerdechiffrertouteslesdonnéesquipourraientêtreutiliséesouquipourraienttransiterparlesservicesinfonuagiques.
• S’assurerquelefournisseuraitdesmécanismesfiablesdesuppressiondesdonnées.