Qui est responsable de la securite du cloud fr

A Brave

Qui est responsable dela sécurité du cloud ?

L'opinion d'un expert

de Trend Micro

Février 2011

Écrit par Dave Asprey,

Vice-président, sécurité cloud

QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?

1 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?

I. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?

Le cloud computing, c'est la technologie qui fait le buzz en ce moment. La fourniture via

Internet de services de logiciel et d'infrastructure à la demande permet aux équipes

informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des

réductions de coûts et de l'évolutivité. Toutefois, les avantages révolutionnaires du cloud

computing impliquent de nouveaux défis qui rendent les approches traditionnelles de la

sécurité caduques. C'est là le paradoxe de cette nouvelle technologie informatique :

synonyme de simplification de l'informatique, de services facturés à l'utilisation et

d'externalisation des tâches les plus lourdes, le cloud comporte également un grand

nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des

données.

Que ce soit de leur propre initiative ou sous la pression du marché, les directeurs

informatiques sont en train de réévaluer les options qui s'offrent à eux dans l'environnement

informatique du XXIe siècle. Ils souhaitent connaître les risques impliqués et surtout savoir

à qui en incombe la responsabilité.

Nous allons tenter ici d'examiner ces problèmes dans le contexte de l'Infrastructure en tant

que service (ou IaaS pour Infrastructure as a Service), une technologie permettant aux

responsables informatiques de louer des services de réseau, des espaces de stockage,

des serveurs ainsi que d'autres éléments opérationnels. L'IaaS offre également aux

entreprises une plus grande autonomie que les SaaS (logiciels en tant que service) pour la

mise en place de contrôles de sécurité.

II. POURQUOI LE CLOUD ?

Les principaux avantages du cloud public sont l'évolutivité et la possibilité de remplacer des

dépenses en immobilisations par des dépenses d'exploitation. Les clients du cloud

computing évitent les investissements en matériel, logiciels et autres services

d'infrastructure et préfèrent recourir aux services de fournisseurs selon leurs besoins.

L'allocation de ressources à la demande permet également aux entreprises d'être plus

dynamiques et performantes en évoluant rapidement selon les besoins informatiques du

moment.

Pour ce qui est du cloud privé, les avantages résident dans la flexibilité et la réactivité face

aux besoins des clients internes.

Avec ce genre d'atouts, l'engouement pour ce nouveau paradigme informatique n'a rien

d'étonnant. Une étude de Cisco réalisée en décembre révèle par exemple que 52 % des

professionnels de l'informatique utilisent ou projettent d'utiliser le cloud computing dans les

trois prochaines années. Selon une enquête similaire de l'organisme de sécurité de l'ISACA

réalisée en mars 2010, un tiers des entreprises européennes utilisent déjà des systèmes de

cloud computing. Enfin, la société internationale de conseil Accenture déclarait en juillet

2010 que la moitié de ses clients exécutaient des applications critiques sur le cloud.



III. LA SÉCURITÉ DU PÉRIMÈTRE N'EST PAS ENTERRÉE - DEUXAPPROCHES DE LA SÉCURISATION DU CLOUD

On a beaucoup entendu dire que le périmètre de sécurité traditionnel de l'entreprise

n'existait plus dans le cadre du cloud public. Les pare-feu, les systèmes de prévention des

intrusions et d'autres fonctions traditionnelles de sécurité seraient tout simplement

inefficaces sur le cloud. Par conséquent, les entreprises doivent se fier à la sécurité du

périmètre offerte par le fournisseur de services cloud, aussi basique soit-elle.

Mais, vue sous un autre angle, la sécurité du périmètre est loin d'être aussi obsolète. Au

contraire, elle constitue un des éléments utiles d'une architecture de sécurité efficace, mais

un élément seulement. Lorsqu'il est question du cloud, les entreprises ont toujours la notion

de périmètre. Elles peuvent décider d'étendre leur périmètre pour qu'il inclue le cloud, de

laisser le cloud s'étendre dans leur périmètre ou bien de combiner ces deux approches.

Quel que soit leur choix, des couches de sécurité supplémentaires sont nécessaires, tout

comme dans les environnements de sécurité d'entreprise internes. Toutefois, ces deux

scénarios présentent des inconvénients similaires concernant un manque potentiel de

visibilité et de contrôle dû à l'externalisation de services vers le cloud. Les responsables de

la sécurité des systèmes d'information doivent être vigilants, conscients des risques

impliqués et mettre en œuvre les procédures de vérification préalables nécessaires.

1) Le premier scénario, prévoyant l'extension du périmètre au cloud, implique la mise en

place d'un tunnel IPSec de RPV vers les serveurs de votre fournisseur de cloud public,

ainsi que l'installation d'une sécurité d'entreprise sur le serveur de cloud public, le plus

souvent sous la forme de logiciels et appliances virtuelles de sécurité.

Ce procédé présente l'avantage de ne pas nécessiter de reconfiguration d'Active Directory.

De plus, la plupart des autres outils de gestion existants devraient fonctionner sur votre

installation de cloud, vos serveurs en ligne se trouvant effectivement à l'intérieur de votre

« périmètre ».

Cependant, l'un des inconvénients réside dans le fait que, selon le niveau de sécurisation

de votre serveur de cloud, il est possible que vous introduisiez dans votre architecture les

risques associés au cloud [décrits ci-dessous]. Pour limiter ces risques, il est important de

surveiller le lien entre le cloud et les serveurs internes, à l'affût de tout trafic suspect. Les

liens vers les serveurs critiques devraient d'ailleurs toujours être surveillés, qu'ils soient sur

un cloud ou non. Une autre option consiste à ajouter une zone démilitarisée (DMZ) et un

pare-feu supplémentaires, bien que cela constitue alors un nouveau périmètre à sécuriser.

De nombreuses entreprises oublient ou ignorent cette étape dans leur précipitation vers le

cloud, notamment les petites entreprises ne disposant pas du temps et des ressources

informatiques nécessaires pour ériger ces barrières de sécurité.

Il est aussi indispensable d'installer une sécurité suffisante sur ces serveurs cloud pour les

protéger : IDS/IPS, pare-feu bidirectionnel, etc.



RISQUES

Les DSI doivent savoir que leurs serveurs cloud seront exposés à des menaces différentes

de celles qu'ils ont l'habitude de traiter en interne.

Il est peu probable que les entreprises se voient confier les journaux d'accès physique ou

d'accès administrateur de leur fournisseur de cloud. Et c'est un problème majeur. Comment

savoir si, par exemple, un administrateur informatique travaillant pour leur fournisseur de cloud

public a eu accès à leurs données ? Les menaces venues de l'intérieur peuvent être déjouées,

dans une certaine mesure, en interne, à l'aide de journaux d'accès. Mais en raison du manque

de visibilité sur le cloud, les entreprises ont tout intérêt à généraliser le chiffrement des

données.

[En décembre, il est apparu que des données d'entreprises appartenant à des clients

de BPOS, une suite de services d'entreprises hébergée de Microsoft, ont été

consultées et téléchargées par d'autres utilisateurs du logiciel, suite à une erreur de

configuration. Bien que ce problème ait été rapidement réglé, il met en lumière les

risques existants et montre à quel point il est important de disposer de visibilité au

niveau des systèmes du fournisseur de cloud pour s'assurer que ceux-ci répondent à

vos exigences et sont conformes à la réglementation.]

Le stockage partagé constitue également un risque. En effet, certaines entreprises s'inquiètent

pour la sécurité de leurs données, dès lors que celles-ci sont stockées à proximité des données

d'un concurrent, sur un même disque en ligne.

Certains fournisseurs de cloud public ne sont tout simplement pas aussi à cheval sur la

sécurité, ou aussi transparents sur leurs activités, qu'ils devraient l'être. Avant toute chose, si

vous comptez stocker des données critiques en ligne, assurez-vous que le fournisseur respecte

rigoureusement les meilleures pratiques de sécurité, notamment les normes ISO 27001

et SAS70 II. Examinez aussi en détail son contrat de niveau de service ainsi que sa stratégie

de sécurité.

Il existe un autre risque, directement lié au risque décrit ci-dessus : en cas de violation, même

si les fournisseurs de cloud sont fautifs, ils ne rembourseront le plus souvent que le coût du

service qu'ils ont fourni. Le client devra seul supporter les coûts liés à l'atteinte à sa réputation,

aux amendes et aux pertes financières, lesquels peuvent se chiffrer en millions.

2) Le second scénario, l'extension du cloud dans l'entreprise, consiste à permettre au cloud

d'accéder à votre périmètre. Pour ce faire, il est nécessaire d'autoriser un fournisseur de

cloud public IaaS ou un fournisseur de services de sécurité gérés à installer un nœud de

cloud sur site.



L'avantage de cette approche, de plus en plus courante parmi les grandes entreprises, est

qu'il s'agit d'un modèle relativement bien compris. Parmi les entreprises ayant adopté ce

modèle, on peut citer Akamai, qui depuis plus de dix ans gère des serveurs situés dans le

périmètre de sécurité de ses clients, Integralis, un fournisseur de services de sécurité gérés

offrant depuis des années des services de gestion de pare-feu à distance « depuis le

cloud », ou encore Trend Micro, qui relie via Trend Micro Smart Protection Network les

serveurs de sécurité à l'intérieur du réseau d'une entreprise à un réseau de sécurité de

milliers de serveurs sur le cloud.

Disposer dans son centre de données ou dans les locaux de l'entreprise d'un tel nœud de

cloud, géré ou mis à jour par le fournisseur de cloud de manière centralisée, est certes un

gage de simplicité. Mais cela présente également des inconvénients : il s'agit toujours

pour l'essentiel d'un service cloud. Aussi, le responsable informatique doit faire face à la

plupart des risques liés au premier scénario.

Les risques dus au manque de visibilité des journaux d'accès physique ou d'accès

administrateur demeurent.

En cas de négligence entraînant une perte de données critiques, le fournisseur de cloud ne

remboursera jamais plus que le coût de ses services.

Bien que votre réseau puisse être activé et désactivé, lorsqu'il est activé, le fournisseur de

cloud peut accéder à votre réseau et à vos données d'application. Celui-ci doit donc être

sécurisé. Si le fournisseur est rigoureux en matière de sécurité et transparent dans son contrat

de niveau de service, il n'y pas de raison de s'inquiéter outre mesure. Toutefois, comme nous

l'avons déjà évoqué, la plupart des fournisseurs de cloud généralistes ne placent pas la

sécurité au cœur de leurs préoccupations.

Il est donc primordial de distinguer une sécurité « correcte » d'une sécurité « optimale ».

Un service de messagerie basé sur le cloud installé à l'intérieur de votre périmètre par un

fournisseur de services de sécurité sera probablement plus sûr qu'un même service installé par

un fournisseur de cloud public classique.



IV. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ET OÙ SESITUENT LES RISQUES ?

La vérité est désagréable à entendre, mais si vous comptez sur l'aide d'un fournisseur de

cloud, attendez-vous à être déçu. Le manque de visibilité au niveau des journaux d'accès et

les termes obscurs employés par ces fournisseurs pour décrire leurs stratégies de sécurité

risquent même de vous compliquer la tâche.

Vous devez sécuriser vos serveurs cloud comme vous sécurisez vos serveurs internes, au

moyen notamment de l'IDS/IPS, d'outils de prévention des fuites de données, de pare-feu

bidirectionnels et du chiffrement.

Vous risquez de rencontrer des problèmes de sécurité du réseau dans un environnement de

cloud, car peu de fournisseurs de cloud public vous laisseront surveiller le trafic réseau aussi

étroitement que vous le souhaiteriez. Dans votre réseau, la configuration du

routeur/commutateur et les journaux sont libres. Vous pouvez donc surveiller le trafic réseau à

votre guise. Mais sur le cloud, c'est impossible. Recourir au cloud pourrait alors être exclu pour

des raisons de conformité. C'est pourquoi il est essentiel de savoir dans quelle mesure le

fournisseur vous laissera surveiller le réseau et y accéder.

Le chiffrement des données stockées et en transit est essentiel en raison du manque de

visibilité au niveau du trafic réseau et des journaux d'accès administrateur de votre fournisseur.

De nombreux fournisseurs de cloud assurent également bien trop peu de contrôles d'accès à

base de rôles au niveau administrateur. Avec Amazon EC2, par exemple, un compte client

contrôle toutes les machines virtuelles. Un membre de l'entreprise disposant des droits d'accès

a donc la possibilité de faire tout ce qu'il veut et peut ajouter ou supprimer des machines

virtuelles à sa guise.

Dans le cloud privé, le contrôle de la sécurité par le seul service informatique est remis en

question en raison de la vitesse à laquelle un serveur peut être créé. L'équilibre naturel entre le

service informatique, qui met à disposition les serveurs, et l'entreprise, qui a besoin de ces

serveurs, est de plus en plus menacé, à mesure que ce processus s'accélère. Tout ce dont une

entreprise a besoin aujourd'hui, c'est de savoir si elle peut supporter le coût d'une licence. Dans

un environnement de cloud privé, une unité commerciale peut alors mettre sur pied un serveur

en deux jours tout ou plus, là où auparavant six semaines étaient nécessaires.

Cependant, toute demande de nouveau serveur doit être attentivement examinée, car les

risques augmentent proportionnellement au nombre de machines virtuelles à gérer. Les

responsables informatiques doivent mettre en place un processus central de délivrance

d'autorisations pour s'assurer que les demandes des entreprises sont traitées en premier lieu

par le service informatique.



V. APPEL À L'ACTION

Entreprises

Chiffrez les données stockées et en cours de transfert et veillez à conserver les clés de

chiffrement dans un lieu différent de celui où se trouvent les données, qui ne soit pas

facilement accessible au fournisseur de cloud.

Déployez dans le cloud les mêmes outils de sécurité que vous déployez pour vos serveurs

physiques : la sécurité du système d'exploitation offert par les fournisseurs de cloud n'est

tout simplement pas suffisante.

Fournisseurs de cloud

Soyez plus ouverts et transparents en matière de stratégies et de procédures de sécurité

concernant les contrôles d'accès et le trafic réseau. Les clients doivent être autorisés à

consulter les journaux d'accès pour savoir quelles personnes accèdent au réseau, ce

qu'elles y font et quand elles le font.

Clarifiez les contrats de niveau de service pour que les clients comprennent clairement les

dispositifs de sécurité que vous leur offrez et sachent quelles mesures prendre pour

assurer la sécurité de leurs données conformément à leurs propres normes et à la

réglementation.

Environnements de cloud privé

Si un processus central de délivrance d'autorisations n'existe pas, créez-en un pour traiter

toutes les demandes de serveur cloud de l'entreprise. Les questions suivantes devront être

posées : pourquoi un serveur est-il nécessaire, quelles applications y seront exécutées,

combien de temps existera-t-il, quel sera le volume du trafic sur ce serveur ? Et vous

devrez aussi contrôler régulièrement ces exigences.

Soyez prêts... Les services informatiques sont contraints d'accélérer leur vitesse de travail.

Pour le bien de l'entreprise, vous devez être prêts à répondre à ces exigences dans les

plus brefs délais sans compromettre la sécurité.

Technology

Qui est responsable de la securite du cloud fr