SlideShare une entreprise Scribd logo

La securite du cloud computing le temps d un cafe - Orange Business Services

Romain Fonnier
Romain Fonnier
Technologie
1  sur  36
Télécharger pour lire hors ligne
la sécurité du cloud computing le temps d’un café
édito Après quelques petites années, le cloud computing est maintenant partout. Mais sans sécurité, pas de cloud computing : pour une fois (!) le marché est unanime sur ce point. Les questions et interrogations sont nombreuses : en quoi la sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de la composante humaine de cette équation cloud et sécurité ? Par où commencer et sur quels référentiels s’appuyer pour son “projet cloud” ? Le livret que vous avez sous les yeux concentre une sélection de billets qui, le temps d’un café, devraient vous apporter un éclairage sur ce sujet qu’est “la sécurité du cloud computing”. Bonne lecture et à très bientôt sur nos blogs pour continuer le voyage ! Jean-François Audenard la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
sommaire invasion de services cloud en entreprise : que faire ? 6 comprendre la protection des données dans le cloud 13 cloud iaas : 15 recommandations pour des serveurs sécurisés 20 forrester : la sécurité des services cloud dans le collimateur 25 5 documents de référence sur la sécurité du cloud computing 29 la sécurité du cloud computing le temps d’un café 5
invasion de services cloud en entreprise : que faire? invasion de services cloud en entreprise : que faire? par Jean-François Audenard Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l’informatique mais c’est aussi une nouvelle source de soucis. Un peu comme les infections qui se nichent entre les doigts de pieds : elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là... Pour une entreprise, les applications en mode cloud computing c’est peu ou prou la même chose que ces mycoses ou autres champignons : les employés souscrivent d’eux-mêmes à des services cloud, la direction sécurité n’étant pas mise dans la boucle ; au contraire cette dernière est soigneusement oubliée : Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la regarde pas. Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d’accompagner ce changement car il est trop tard pour l’enrailler. les motivations profondes : rapidité de mise en oeuvre, documentation et coûts Pour les directions métiers, l’amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise 6 la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire? en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs. Depuis plusieurs années (voire décennies) les directions informatiques les assomment de à savoir délais improbables allant de pair avec des coûts souscrire à un service cloud dignent du meilleur escroc. est facile et rapide : Une autre raison réside dans le fait que il suffit d’un accès internet et des services de cloud externes n’ont pas de sortir sa carte bancaire d’équivalents en interne ou encore que ceux-ci corporate. sont tout simplement bien mieux documentés et clairs que leurs versions internes. Car oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète... et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas ! Avant le cloud, les directions métiers étaient ; excusez-moi de l’expression ; “de la baise”. Avec le cloud computing elles ont désormais le choix : les directions informatiques doivent donc s’adapter et évoluer ; les directions sécurité aussi. un état de fait, une tendance qu’il n’est pas possible d’arrêter Souscrire à un service cloud est facile et rapide : il suffit d’un accès Internet et de sortir sa carte bancaire corporate. Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS (Software as a Service), les PaaS (Platform as a Service) ou même ceux de type IaaS (Infrastructure as a Service). A moins de couper les accès Internet (totalement irréaliste) ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud Services providers” dans les systèmes de filtrage d’URL ?), la tendance est à un élargissement du nombre de prestataires de services informatiques. Les directions informatique et sécurité sont donc tenues ; si elles veulent rester en place et continuer à être reconnues ; de se mettre au goût du jour et d’accompagner ce changement. la sécurité du cloud computing le temps d’un café 7
invasion de services cloud en entreprise : que faire? il est important de s’assurer que les données tion peuvent être n at te effectivement récupérées sous un format ré-utilisable. 8 la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire? accompagner pour préparer l’avenir et anticiper Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l’accompagner vers cette transition vers le cloud computing. Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de “l’accompagnement” des projets que les direction informatiques. Oui, l’utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise. Illustration en deux points : la conformité et la continuité. données personnelles Une entreprise française manipulant des données personnelles est tenue d’assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l’espace européen (ou sur le sol d’un pays reconnu comme étant “suffisamment protecteur”). Tout le monde n’est pas au fait de ces aspects réglementaires (directive Européenne 95/46/EC), une direction à savoir sécurité est donc tout à fait légitime pour la loi indique que le client guider le choix (sans s’y opposer ou forcément final doit être informé que chercher à placer d’autres solutions) vers un des données personnelles fournisseur en mesure de répondre à ce besoin le concernant sont amenées de conserver les données dans une liste de à quitter la zone Europe. pays pré-établie. De la même façon, il conviendra de s’assurer que les équipes de support technique du prestataire sont bien localisées dans des pays connus. Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l’être. Dans le cas contraire, la loi indique que le client final doit être informé que des données personnelles le concernant sont la sécurité du cloud computing le temps d’un café 9
invasion de services cloud en entreprise : que faire? amenées à quitter la zone europe (ou un pays “reconnu”) et cela doit être stipulé dans le contrat de service. continuité Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivé par une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests. Dans chacun de ces contextes d’utilisation de services cloud, il est critique d’assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi (par exemple si celui-ci viendrait à cesser ses activités). De la même façon, une société peut initier un projet grâce aux services cloud d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire. réversibilité Si ces questions relatives à la réversibilité n’ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait être prohibitif voire même dans certains cas impossible. Dans tous les cas, il est important de s’assurer que les données peuvent être effectivement récupérées sous un format ré-utilisable. Pour de l’IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles (sous un format spécifique à l’hyperviseur ou encore sous forme de fichiers OVF). Dans le domaine du PaaS, le sujet n’est pas neuf, les récents échanges de mots entre Google et Joyent (“Google Cloud Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de Big-Table sont un bon exemple du besoin d’utiliser des techniques standardisées (ou tout du moins non propriétaires) car sinon c’est le “syndrome d’enfermement” assuré. 10 la sécurité du cloud computing le temps d’un café
invasion de services cloud en entreprise : que faire? souplesse et accompagnement La balle est dans le camp des directions informatiques et sécurité : le cloud computing est là et sera de plus en plus présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire. Le proverbe Japonais “la neige ne brise jamais les branches du saule” illustre bien le comportement à adopter  : souplesse et accompagnement sont les clefs d’une transition vers le cloud computing. l’article en ligne Invasion de services cloud en entreprise : que faire ? la sécurité du cloud computing le temps d’un café 11
la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud comprendre la protection des données dans le cloud par Jean-François Audenard Les donneés stockées dans le cloud doivent être protégées contre les accès et les modifications non-autorisées. Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données iront croissant. La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire. Je vous propose de partager avec vous quelques idées sur ce thème. Comme nous le verrons, le cycle de vie des données est une constante qui sera un outil particulièrement utile et qui est applicable quelque soit le type de service cloud concerné. Par contre, au niveau de certaines phases de ce cycle de vie les choses se compliqueront en fonction du type de service  : on ne sécurise pas de la même façon des données dans un contexte de service de type IaaS (Infrastructure as a Service), BaaS (Backup as a Service) ou encore SaaS (Software as a Service). cycle de vie de la donnée  : modèle de référence Le cycle de vie des données dans le Cloud est décomposable en 5 grandes étapes. Les données sont transférées dans le Cloud, elles y sont stockées, utilisées, récupérées et éventuellement détruites. A chaque étape de ce cycle de vie, différentes mesures peuvent être mises en oeuvre pour assurer la sécurité des données. Les mesures de protection sont de deux types  : le contrôle la sécurité du cloud computing le temps d’un café 13
comprendre la protection des données dans le cloud d’accès et le chiffrement. Je n’évoquerai que rapidement la première pour me focaliser sur le chiffrement. première brique essentielle : le contrôle d’accès Contrôler l’accès aux données s’appuie sur des mécanismes d’authentification : une personne (ou un système, un programme) doit montrer patte blanche afin de pouvoir accéder aux données. L’ensemble des techniques, systèmes et moyens de contrôle d’accès sont regroupés sous l’acronyme IAM (Identity and Access Management). Comme il s’agit d’un sujet très large je vous propose de le mettre de coté pour le moment. phase de transit des données : c’est maîtrisé ! Les phases liées à l’envoi des données depuis les systèmes internes d’une entreprise vers le cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l’entreprise et ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser. phase de stockage des données : ça se gâte Une fois les données arrivées dans le Cloud, celles-ci y sont 14 la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud stockées. En l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur de service. Certains d’entre-eux vont proposer des systèmes dont le fonctionnement n’est peut-être pas toujours très clair. Dans le cas où les données sont déposées dans le cloud afin d’assurer leur disponibilité (cas par exemple d’un service à savoir de type Baas - Backup as a Service), le mieux en l’absence de standards est de chiffrer les données avant de les envoyer : reconnus la mise en cette tâche incombera au client du cloud qui oeuvre des fonctions de réalisera ce traitement lui-même (ou via des chiffrement est dépendante outils mis à sa disposition par son fournisseur). du fournisseur du service Evidemment, dans le cas d’un service de type corporate. SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le client final ayant un rôle quasi inexistant (et donc une maîtrise) dans cette étape de chiffrement. Ici le contrôle d’accès (IAM) aura un rôle encore plus important que dans le cas d’un service de type BaaS ou le chiffrement peut être effectué à la source. Même si la situation n’est pas toute rose, il y a donc quelques solutions de disponibles pour les données “at rest” ou “stockées”. La situation se complique encore plus pour les données présentes dans le cloud et devant être utilisées dans ce même cloud. données utilisées dans le cloud : absence de standards Pour ce qui concerne les données présentes dans le cloud et qui doivent être utilisées depuis le cloud, il n’existe actuellement pas de solution. Afin d’illustrer mon propos, prenons l’exemple d’une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d’exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Un la sécurité du cloud computing le temps d’un café 15
comprendre la protection des données dans le cloud sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. at t en tio n 16 la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM. Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d’accès mises en place pour accéder aux données : cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le cloud (webmail, application de CRM, gestion documentaire, etc...) et la destruction des données ? le chiffrement est un allié Une fois que des données ont été récupérées depuis un cloud, il est important de s’assurer qu’elles en disparaissent bien. Outre le fait qu’il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C’est ici que le chiffrement peut nous donner un coup de main. En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C’est ce concept qui permet de s’assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de cloud vient de mettre la clef sous la porte sans prévenir. un fournisseur de confiance est essentiel A part la phase de transfert des données depuis ou vers le cloud, les moyens pour sécuriser ses données lorsqu’elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu’ils soient intégrés par la sécurité du cloud computing le temps d’un café 17
comprendre la protection des données dans le cloud les fournisseurs de service, la confiance dans son fournisseur est un élément fondamental. La confiance vient dans le temps et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma recommandation serait de sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. Néanmoins, pas de confiance aveugle : un contrat bien ficelé et une analyse fine et approfondie de ses pratiques de sécurité sont des points de passage obligés. l’article en ligne Comprendre la protection des données dans le cloud 18 la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés cloud iaas : 15 recommandations pour des serveurs sécurisés par Jean-François Audenard Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l’esprit des personnes. Cela est peut-être dû au fait que ce niveau de service bénéficie du “halo” de la virtualisation... à savoir Vous devriez commencer Dans une offre de type IaaS, le client souscrit par identifier vos besoins à un service d’hébergement d’un système sécurité pour ensuite d’exploitation tournant dans un environnement sélectionner votre virtualisé. Une fois le système livré par le fournisseur et ajouter prestataire c’est au client de sécuriser son vous-même ce qu’il ne système. L’étendue de ce travail de sécurisation propose pas dépendra des besoins du client et ce qui est fournit ou non par le prestataire. Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d’entrée de gamme. A vous de remonter vos manches et de renforcer la sécurité au niveau adéquat. 20 la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés ne stockez pas vos clefs de déchiffrement at te n tion sur l’instance : celles-ci ne doivent y entrer que durant le processus de déchiffrement. la sécurité du cloud computing le temps d’un café 21
cloud iaas : 15 recommandations pour des serveurs sécurisés Je vous donne 15 recommandations pour sécuriser une instance d’une machine virtuelle localisée en Cloud IaaS. 1. Cryptez tout le trafic réseau 2. Limitez à un le nombre de services supportés par une instance (*) 3. Renforcez la sécurité de votre système d’exploitation (Microsoft MBSA, Bastille Linux, ...) 4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc 5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...) 6. Ne stockez pas vos clefs de décryptage sur l’instance : celles-ci ne doivent y entrer que durant le processus de décryptage. 7. N’ouvrez que le minimum de ports réseau requis sur chacune des instances 8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d’exploitation que les applicatifs 9. Faites des scans de détection de vulnérabilités récurrents 10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter 11. N’utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients 12. Effectuez régulièrement des sauvegardes pour ensuite les rapatrier et les stocker en lieu sûr 13. Installez un système de détection d’intrusion au niveau du système d’exploitation (par exemple OSSEC, CISCO CSA, ...) 14. Si vous suspectez une intrusion, faites un snaphost de l’instance et stoppez-là. (*) 15. Développez vos applications de façon sécurisée (OWASP). 22 la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés Normalement, pour devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d’options. Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation. PS : rien de bien magique pour un administrateur système/ sécurité expérimenté. Surtout qu’avec la virtualisation le copy/ paste d’instances virtuelles offre un niveau d’industrialisation que l’on ne connait pas dans les serveurs dédiés. Bon cloud ! l’article en ligne cloud IaaS : 15 recommandations pour des serveurs sécurisés la sécurité du cloud computing le temps d’un café 23
la sécurité du cloud computing le temps d’un café
forrester : la sécurité des services cloud dans le collimateur forrester : la sécurité des services cloud dans le collimateur par Jean-François Audenard Dans l’une des dernières études de Forrester intitulée “Status, Challenges, And Near-Term Tactics For Cloud Services In Enter- prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents. Avant que les entreprises fassent massivement à savoir le “grand saut” vers les services cloud, des Vous devriez commencer réponses à 7 grandes interrogations devront par identifier vos besoins être apportées par les fournisseurs de services sécurité pour ensuite dans le nuage. Le premier d’entre-eux est la sélectionner votre sécurité : “Even so, perceptions and genuine fournisseur et ajouter technical hurdles put security as one of the vous-même ce qu’il ne biggest challenges to broader enterprise cloud propose pas services adoption”. La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes. Certains affirment que la sécurité dans le nuage est impos- sible alors que d’autres défendent becs et ongles le contraire : le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s’expliquer par le fait que le niveau des technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d’autres domaines. D’un autre coté, pour certains ser- vices “cloud” on peut dire que leur niveau de sécurité est arrivé à maturité. la sécurité du cloud computing le temps d’un café 25
forrester : la sécurité des services cloud dans le collimateur pour certains services “cloud” at ten tion on peut dire que le niveau de sécurité est arrivé à maturité. 26 la sécurité du cloud computing le temps d’un café
forrester : la sécurité des services cloud dans le collimateur J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d’ailleurs. Pour faire un parallèle : dans le cloud on peut retrouver des termes comme “private cloud”, “public cloud” ou encore “community cloud”. Mettez en face de chacun “une plateforme de mail dédiée hebergée”, “Gmail” ou encore des “services de messagerie electroniques pour le segment des entreprises” (suivez mon regard). Pour chacun de ces services “cloud” on sait faire dans le sé- curisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun. Quelle est la recommandation de Forrester ? Plutôt simple : “intégrez la sécurité dans les choix stratégiques et dans le pro- cessus de sélection”. Ce n’est pas une surprise : les entreprises ne pouvant “out- sourcer” leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s’appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud. “Il faut intégrer la sécurité dès le début du projet” : rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s’en assurer. PS: J’ai délibérément omis de parler de tout ce qui n’était pas en relation avec la sécurité. Ce document de Forrester n’étant pas focalisé uniquement sur la sécurité. l’article en ligne Forrester : la sécurité des services cloud dans le collimateur la sécurité du cloud computing le temps d’un café 27
la sécurité du cloud computing le temps d’un café
5 documents de référence sur la sécurité du cloud computing 5 documents de référence sur la sécurité du cloud computing par Jean-François Audenard Voici 5 documents que je considère comme des “références” dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l’externalisation des systèmes d’information). Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l’anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance. #1 ANSSI Maîtriser les risques de l’infogérance (En français - 56 pages) Le premier c’est le “Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui nous propose un document très didactique. L’approche prise est clairement d’accompagner le lecteur/ lectrice vers une démarche de prise en compte de la sécurité dans un projet d’externalisation d’un système d’information. A noter une section relative à la définition d’un PAS (Plan d’Assurance Sécurité) et comment contractualiser des engagements de sécurité. la sécurité du cloud computing le temps d’un café 29
5 documents de référence sur la sécurité du cloud computing #2 Syntec Numérique Livre Blanc sécurité du Cloud Computing (En français - 24 pages) Le second c’est celui du Syntec Numérique “Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques”. Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du cloud, l’approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données. Le document est d’une lecture aisée car il évite un formalisme trop guindé, c’est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet. #3 Cloud Security Alliance Security Guidance for Critical Areas of Cloud Computing v3.0 (En anglais - 177 pages) Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide “Security Guidance for Critical Areas of Cloud Computing Version 3.0” est une “référence-de-référence” pour tout professionel du domaine. Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous. Ce n’est que la partie hébergée de l’iceberg : la Cloud Security 30 la sécurité du cloud computing le temps d’un café
5 documents de référence sur la sécurité du cloud computing Alliance propose bien d’autres documents. Mon conseil  : allez fouiller sur leur site, vous ne serez pas déçu(e) ! #4 ENISA, Cloud Computing Risk Assessment (En anglais - 125 pages) Le 4ième document est celui de l’ENISA, agence Européenne spécialisée dans la sécurité des systèmes d’information. Dans leur document “Cloud Computing, Benefits, risks and recommendations for information security”, l’ENISA nous propose une vision axée sur les risques liés aux cloud computing. C’est le document le plus complet de tous sur l’approche “risques”. Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées. Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants. #5 PCI DSS Virtualization Guidelines v2.0 (En anglais - 39 pages) Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est que les règles (ou “objectifs de sécurité”) sont précis et connus d’avance. Le niveau d’exigence est clairement fort. Le guide “PCI-DSS - Information Supplement: PCI DSS la sécurité du cloud computing le temps d’un café 31
5 documents de référence sur la sécurité du cloud computing Virtualization Guidelines” explicite de façon claire et précise ce qu’il convient de mettre en place au niveau d’une couche de virtualisation. Pour savoir que faire pour sécuriser votre hyperviseur c’est le document qu’il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels. mes deux préférés Sur ces 5 documents de référence, mes deux préférés sont celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide de la Cloud Security Alliance concentre “l’état de l’art” dans le domaine de la sécurité du cloud computing ; celui de l’ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d’un service de cloud computing. et ce n’est pas fini : quels sont vos documents de prédilection ? J’ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d’autres comme les documents du NIST, ceux de la NSA et j’en passe.... Quels sont les documents que vous considérez comme “de référence” ? C’est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne. l’article en ligne 5 documents de référence sur la sécurité du cloud computing 32 la sécurité du cloud computing le temps d’un café
la sécurité du cloud computing le temps d’un café
l’auteur Jean-François Audenard Au sein d’Orange Business Services, je suis en charge d’intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j’aime aller au delà des chantiers battus et faire “bouger les codes”. La franchise est ma “touche” et l’optimisme et le volontarisme mes deux moteurs. la sécurité du cloud computing le temps d’un café
Document téléchargeable à : http://livres-blancs.orange-business.com/ Édité par Orange Business Services 30.03.2012 la sécurité du cloud computing le temps d’un café
La securite du cloud computing le temps d un cafe - Orange Business Services

Recommandé

Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingInstitut Poly Informatique
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 

Recommandé

Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingInstitut Poly Informatique
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorNBS System
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1AIR-LYNX
 
L'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecqueL'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecqueCLDEM
 

Contenu connexe

Tendances

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorNBS System
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 

Tendances (20)

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité nauges
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 

Similaire à La securite du cloud computing le temps d un cafe - Orange Business Services

DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1AIR-LYNX
 
L'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecqueL'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecqueCLDEM
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confianceIkoula
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SIUn vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SIPROJECT SI
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesMicrosoft Ideas
 
Livre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donneesLivre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donneesMarc Bourhis
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des donnéessmiste
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentauxNuageo
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueAntoine Vigneron
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?NRC
 
Etude cio n_5_9209
Etude cio n_5_9209Etude cio n_5_9209
Etude cio n_5_9209Gideon Ale
 
Magellan consulting i ma-gine - cloud
Magellan consulting i ma-gine - cloudMagellan consulting i ma-gine - cloud
Magellan consulting i ma-gine - cloudPierre Jacob
 
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...Magellan Consulting
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Christophe Monnier
 
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloudLes enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloudMicrosoft Ideas
 

Similaire à La securite du cloud computing le temps d un cafe - Orange Business Services (20)

DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
 
L'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecqueL'informatique en nuage par où commencer - marisol labrecque
L'informatique en nuage par où commencer - marisol labrecque
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SIUn vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
Un vrai ERP dans le Cloud Découvrez CEGID avec PROJECT SI
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
Livre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donneesLivre blanc la+securisation+des+donnees
Livre blanc la+securisation+des+donnees
 
Tendances cloud2013 v2.0
Tendances cloud2013 v2.0Tendances cloud2013 v2.0
Tendances cloud2013 v2.0
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?
 
Etude cio n_5_9209
Etude cio n_5_9209Etude cio n_5_9209
Etude cio n_5_9209
 
Magellan consulting i ma-gine - cloud
Magellan consulting i ma-gine - cloudMagellan consulting i ma-gine - cloud
Magellan consulting i ma-gine - cloud
 
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
Cloud Computing : Impacts sur la Gouvernance des SI - Magellan Consulting - i...
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloudLes enjeux de la gestion des actifs logiciels à l’heure du cloud
Les enjeux de la gestion des actifs logiciels à l’heure du cloud
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
 

Plus de Romain Fonnier

Magnite - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021Magnite - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021Romain Fonnier
 
ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021Romain Fonnier
 
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...Romain Fonnier
 
Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique - IAB France - 2021Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique - IAB France - 2021Romain Fonnier
 
La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020Romain Fonnier
 
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020Romain Fonnier
 
Smart identity indicator - Q1 2021
Smart identity indicator - Q1 2021Smart identity indicator - Q1 2021
Smart identity indicator - Q1 2021Romain Fonnier
 
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021Romain Fonnier
 
Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021Romain Fonnier
 
2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europeRomain Fonnier
 
CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019Romain Fonnier
 
CPA - Black Friday - 2020
CPA - Black Friday - 2020CPA - Black Friday - 2020
CPA - Black Friday - 2020Romain Fonnier
 
CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020Romain Fonnier
 
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...Romain Fonnier
 
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiquesTracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiquesRomain Fonnier
 
Baromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA FranceBaromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA FranceRomain Fonnier
 
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019Romain Fonnier
 
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019Romain Fonnier
 
21eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 201921eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 2019Romain Fonnier
 
Guide data - IAB france - 2019
Guide data - IAB france - 2019Guide data - IAB france - 2019
Guide data - IAB france - 2019Romain Fonnier
 

Plus de Romain Fonnier (20)

Magnite - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021Magnite - taking action on identity in europe - april 2021
Magnite - taking action on identity in europe - april 2021
 
ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021ID5 - the state of digital identity - 2021
ID5 - the state of digital identity - 2021
 
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...Audio programmatique panorama des acteurs technologiques sell side - iab fr...
Audio programmatique panorama des acteurs technologiques sell side - iab fr...
 
Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique - IAB France - 2021Le barometre du programmatique - IAB France - 2021
Le barometre du programmatique - IAB France - 2021
 
La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020La publicite TV segmentée - IAB France - Octobre 2020
La publicite TV segmentée - IAB France - Octobre 2020
 
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
Guide cookieless - Quel futur pour le cookie ? - IAB france - 2020
 
Smart identity indicator - Q1 2021
Smart identity indicator - Q1 2021Smart identity indicator - Q1 2021
Smart identity indicator - Q1 2021
 
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
Strategies and Opportunities for a Cookie-less World - Pubmatic - April 2021
 
Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021Le guide de la brand safety et brand suitability - SRI - 2021
Le guide de la brand safety et brand suitability - SRI - 2021
 
2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe2019 programmatic advertising ecosystem europe
2019 programmatic advertising ecosystem europe
 
CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019CPA - Fiches Tracking - 2019
CPA - Fiches Tracking - 2019
 
CPA - Black Friday - 2020
CPA - Black Friday - 2020CPA - Black Friday - 2020
CPA - Black Friday - 2020
 
CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020CPA - Barometre Lead - 2020
CPA - Barometre Lead - 2020
 
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
Résultats – SONDAGES IAB / CPA – « Les conséquences économiques de la crise c...
 
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiquesTracking : 7 points à vérifier pour comprendre les écarts statistiques
Tracking : 7 points à vérifier pour comprendre les écarts statistiques
 
Baromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA FranceBaromètre de l'affiliation - Edition 2020 - CPA France
Baromètre de l'affiliation - Edition 2020 - CPA France
 
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
IAB Europe european-programmatic-ad-spend-2018-report-sept-2019
 
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
IAB Europe Attitudes-to-programmatic-advertising-report Sept-2019
 
21eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 201921eme observatoire de l'e pub - sri - 2019
21eme observatoire de l'e pub - sri - 2019
 
Guide data - IAB france - 2019
Guide data - IAB france - 2019Guide data - IAB france - 2019
Guide data - IAB france - 2019
 

La securite du cloud computing le temps d un cafe - Orange Business Services

  • 1. la sécurité du cloud computing le temps d’un café
  • 2.
  • 3. édito Après quelques petites années, le cloud computing est maintenant partout. Mais sans sécurité, pas de cloud computing : pour une fois (!) le marché est unanime sur ce point. Les questions et interrogations sont nombreuses : en quoi la sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de la composante humaine de cette équation cloud et sécurité ? Par où commencer et sur quels référentiels s’appuyer pour son “projet cloud” ? Le livret que vous avez sous les yeux concentre une sélection de billets qui, le temps d’un café, devraient vous apporter un éclairage sur ce sujet qu’est “la sécurité du cloud computing”. Bonne lecture et à très bientôt sur nos blogs pour continuer le voyage ! Jean-François Audenard la sécurité du cloud computing le temps d’un café
  • 4. la sécurité du cloud computing le temps d’un café
  • 5. sommaire invasion de services cloud en entreprise : que faire ? 6 comprendre la protection des données dans le cloud 13 cloud iaas : 15 recommandations pour des serveurs sécurisés 20 forrester : la sécurité des services cloud dans le collimateur 25 5 documents de référence sur la sécurité du cloud computing 29 la sécurité du cloud computing le temps d’un café 5
  • 6. invasion de services cloud en entreprise : que faire? invasion de services cloud en entreprise : que faire? par Jean-François Audenard Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l’informatique mais c’est aussi une nouvelle source de soucis. Un peu comme les infections qui se nichent entre les doigts de pieds : elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là... Pour une entreprise, les applications en mode cloud computing c’est peu ou prou la même chose que ces mycoses ou autres champignons : les employés souscrivent d’eux-mêmes à des services cloud, la direction sécurité n’étant pas mise dans la boucle ; au contraire cette dernière est soigneusement oubliée : Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la regarde pas. Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d’accompagner ce changement car il est trop tard pour l’enrailler. les motivations profondes : rapidité de mise en oeuvre, documentation et coûts Pour les directions métiers, l’amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise 6 la sécurité du cloud computing le temps d’un café
  • 7. invasion de services cloud en entreprise : que faire? en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs. Depuis plusieurs années (voire décennies) les directions informatiques les assomment de à savoir délais improbables allant de pair avec des coûts souscrire à un service cloud dignent du meilleur escroc. est facile et rapide : Une autre raison réside dans le fait que il suffit d’un accès internet et des services de cloud externes n’ont pas de sortir sa carte bancaire d’équivalents en interne ou encore que ceux-ci corporate. sont tout simplement bien mieux documentés et clairs que leurs versions internes. Car oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète... et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas ! Avant le cloud, les directions métiers étaient ; excusez-moi de l’expression ; “de la baise”. Avec le cloud computing elles ont désormais le choix : les directions informatiques doivent donc s’adapter et évoluer ; les directions sécurité aussi. un état de fait, une tendance qu’il n’est pas possible d’arrêter Souscrire à un service cloud est facile et rapide : il suffit d’un accès Internet et de sortir sa carte bancaire corporate. Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS (Software as a Service), les PaaS (Platform as a Service) ou même ceux de type IaaS (Infrastructure as a Service). A moins de couper les accès Internet (totalement irréaliste) ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud Services providers” dans les systèmes de filtrage d’URL ?), la tendance est à un élargissement du nombre de prestataires de services informatiques. Les directions informatique et sécurité sont donc tenues ; si elles veulent rester en place et continuer à être reconnues ; de se mettre au goût du jour et d’accompagner ce changement. la sécurité du cloud computing le temps d’un café 7
  • 8. invasion de services cloud en entreprise : que faire? il est important de s’assurer que les données tion peuvent être n at te effectivement récupérées sous un format ré-utilisable. 8 la sécurité du cloud computing le temps d’un café
  • 9. invasion de services cloud en entreprise : que faire? accompagner pour préparer l’avenir et anticiper Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l’accompagner vers cette transition vers le cloud computing. Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de “l’accompagnement” des projets que les direction informatiques. Oui, l’utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise. Illustration en deux points : la conformité et la continuité. données personnelles Une entreprise française manipulant des données personnelles est tenue d’assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l’espace européen (ou sur le sol d’un pays reconnu comme étant “suffisamment protecteur”). Tout le monde n’est pas au fait de ces aspects réglementaires (directive Européenne 95/46/EC), une direction à savoir sécurité est donc tout à fait légitime pour la loi indique que le client guider le choix (sans s’y opposer ou forcément final doit être informé que chercher à placer d’autres solutions) vers un des données personnelles fournisseur en mesure de répondre à ce besoin le concernant sont amenées de conserver les données dans une liste de à quitter la zone Europe. pays pré-établie. De la même façon, il conviendra de s’assurer que les équipes de support technique du prestataire sont bien localisées dans des pays connus. Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l’être. Dans le cas contraire, la loi indique que le client final doit être informé que des données personnelles le concernant sont la sécurité du cloud computing le temps d’un café 9
  • 10. invasion de services cloud en entreprise : que faire? amenées à quitter la zone europe (ou un pays “reconnu”) et cela doit être stipulé dans le contrat de service. continuité Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivé par une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests. Dans chacun de ces contextes d’utilisation de services cloud, il est critique d’assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi (par exemple si celui-ci viendrait à cesser ses activités). De la même façon, une société peut initier un projet grâce aux services cloud d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire. réversibilité Si ces questions relatives à la réversibilité n’ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait être prohibitif voire même dans certains cas impossible. Dans tous les cas, il est important de s’assurer que les données peuvent être effectivement récupérées sous un format ré-utilisable. Pour de l’IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles (sous un format spécifique à l’hyperviseur ou encore sous forme de fichiers OVF). Dans le domaine du PaaS, le sujet n’est pas neuf, les récents échanges de mots entre Google et Joyent (“Google Cloud Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de Big-Table sont un bon exemple du besoin d’utiliser des techniques standardisées (ou tout du moins non propriétaires) car sinon c’est le “syndrome d’enfermement” assuré. 10 la sécurité du cloud computing le temps d’un café
  • 11. invasion de services cloud en entreprise : que faire? souplesse et accompagnement La balle est dans le camp des directions informatiques et sécurité : le cloud computing est là et sera de plus en plus présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire. Le proverbe Japonais “la neige ne brise jamais les branches du saule” illustre bien le comportement à adopter  : souplesse et accompagnement sont les clefs d’une transition vers le cloud computing. l’article en ligne Invasion de services cloud en entreprise : que faire ? la sécurité du cloud computing le temps d’un café 11
  • 12. la sécurité du cloud computing le temps d’un café
  • 13. comprendre la protection des données dans le cloud comprendre la protection des données dans le cloud par Jean-François Audenard Les donneés stockées dans le cloud doivent être protégées contre les accès et les modifications non-autorisées. Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données iront croissant. La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire. Je vous propose de partager avec vous quelques idées sur ce thème. Comme nous le verrons, le cycle de vie des données est une constante qui sera un outil particulièrement utile et qui est applicable quelque soit le type de service cloud concerné. Par contre, au niveau de certaines phases de ce cycle de vie les choses se compliqueront en fonction du type de service  : on ne sécurise pas de la même façon des données dans un contexte de service de type IaaS (Infrastructure as a Service), BaaS (Backup as a Service) ou encore SaaS (Software as a Service). cycle de vie de la donnée  : modèle de référence Le cycle de vie des données dans le Cloud est décomposable en 5 grandes étapes. Les données sont transférées dans le Cloud, elles y sont stockées, utilisées, récupérées et éventuellement détruites. A chaque étape de ce cycle de vie, différentes mesures peuvent être mises en oeuvre pour assurer la sécurité des données. Les mesures de protection sont de deux types  : le contrôle la sécurité du cloud computing le temps d’un café 13
  • 14. comprendre la protection des données dans le cloud d’accès et le chiffrement. Je n’évoquerai que rapidement la première pour me focaliser sur le chiffrement. première brique essentielle : le contrôle d’accès Contrôler l’accès aux données s’appuie sur des mécanismes d’authentification : une personne (ou un système, un programme) doit montrer patte blanche afin de pouvoir accéder aux données. L’ensemble des techniques, systèmes et moyens de contrôle d’accès sont regroupés sous l’acronyme IAM (Identity and Access Management). Comme il s’agit d’un sujet très large je vous propose de le mettre de coté pour le moment. phase de transit des données : c’est maîtrisé ! Les phases liées à l’envoi des données depuis les systèmes internes d’une entreprise vers le cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l’entreprise et ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser. phase de stockage des données : ça se gâte Une fois les données arrivées dans le Cloud, celles-ci y sont 14 la sécurité du cloud computing le temps d’un café
  • 15. comprendre la protection des données dans le cloud stockées. En l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur de service. Certains d’entre-eux vont proposer des systèmes dont le fonctionnement n’est peut-être pas toujours très clair. Dans le cas où les données sont déposées dans le cloud afin d’assurer leur disponibilité (cas par exemple d’un service à savoir de type Baas - Backup as a Service), le mieux en l’absence de standards est de chiffrer les données avant de les envoyer : reconnus la mise en cette tâche incombera au client du cloud qui oeuvre des fonctions de réalisera ce traitement lui-même (ou via des chiffrement est dépendante outils mis à sa disposition par son fournisseur). du fournisseur du service Evidemment, dans le cas d’un service de type corporate. SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le client final ayant un rôle quasi inexistant (et donc une maîtrise) dans cette étape de chiffrement. Ici le contrôle d’accès (IAM) aura un rôle encore plus important que dans le cas d’un service de type BaaS ou le chiffrement peut être effectué à la source. Même si la situation n’est pas toute rose, il y a donc quelques solutions de disponibles pour les données “at rest” ou “stockées”. La situation se complique encore plus pour les données présentes dans le cloud et devant être utilisées dans ce même cloud. données utilisées dans le cloud : absence de standards Pour ce qui concerne les données présentes dans le cloud et qui doivent être utilisées depuis le cloud, il n’existe actuellement pas de solution. Afin d’illustrer mon propos, prenons l’exemple d’une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d’exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Un la sécurité du cloud computing le temps d’un café 15
  • 16. comprendre la protection des données dans le cloud sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. at t en tio n 16 la sécurité du cloud computing le temps d’un café
  • 17. comprendre la protection des données dans le cloud attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM. Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d’accès mises en place pour accéder aux données : cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le cloud (webmail, application de CRM, gestion documentaire, etc...) et la destruction des données ? le chiffrement est un allié Une fois que des données ont été récupérées depuis un cloud, il est important de s’assurer qu’elles en disparaissent bien. Outre le fait qu’il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C’est ici que le chiffrement peut nous donner un coup de main. En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C’est ce concept qui permet de s’assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de cloud vient de mettre la clef sous la porte sans prévenir. un fournisseur de confiance est essentiel A part la phase de transfert des données depuis ou vers le cloud, les moyens pour sécuriser ses données lorsqu’elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu’ils soient intégrés par la sécurité du cloud computing le temps d’un café 17
  • 18. comprendre la protection des données dans le cloud les fournisseurs de service, la confiance dans son fournisseur est un élément fondamental. La confiance vient dans le temps et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma recommandation serait de sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. Néanmoins, pas de confiance aveugle : un contrat bien ficelé et une analyse fine et approfondie de ses pratiques de sécurité sont des points de passage obligés. l’article en ligne Comprendre la protection des données dans le cloud 18 la sécurité du cloud computing le temps d’un café
  • 19. la sécurité du cloud computing le temps d’un café
  • 20. cloud iaas : 15 recommandations pour des serveurs sécurisés cloud iaas : 15 recommandations pour des serveurs sécurisés par Jean-François Audenard Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l’esprit des personnes. Cela est peut-être dû au fait que ce niveau de service bénéficie du “halo” de la virtualisation... à savoir Vous devriez commencer Dans une offre de type IaaS, le client souscrit par identifier vos besoins à un service d’hébergement d’un système sécurité pour ensuite d’exploitation tournant dans un environnement sélectionner votre virtualisé. Une fois le système livré par le fournisseur et ajouter prestataire c’est au client de sécuriser son vous-même ce qu’il ne système. L’étendue de ce travail de sécurisation propose pas dépendra des besoins du client et ce qui est fournit ou non par le prestataire. Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d’entrée de gamme. A vous de remonter vos manches et de renforcer la sécurité au niveau adéquat. 20 la sécurité du cloud computing le temps d’un café
  • 21. cloud iaas : 15 recommandations pour des serveurs sécurisés ne stockez pas vos clefs de déchiffrement at te n tion sur l’instance : celles-ci ne doivent y entrer que durant le processus de déchiffrement. la sécurité du cloud computing le temps d’un café 21
  • 22. cloud iaas : 15 recommandations pour des serveurs sécurisés Je vous donne 15 recommandations pour sécuriser une instance d’une machine virtuelle localisée en Cloud IaaS. 1. Cryptez tout le trafic réseau 2. Limitez à un le nombre de services supportés par une instance (*) 3. Renforcez la sécurité de votre système d’exploitation (Microsoft MBSA, Bastille Linux, ...) 4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc 5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...) 6. Ne stockez pas vos clefs de décryptage sur l’instance : celles-ci ne doivent y entrer que durant le processus de décryptage. 7. N’ouvrez que le minimum de ports réseau requis sur chacune des instances 8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d’exploitation que les applicatifs 9. Faites des scans de détection de vulnérabilités récurrents 10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter 11. N’utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients 12. Effectuez régulièrement des sauvegardes pour ensuite les rapatrier et les stocker en lieu sûr 13. Installez un système de détection d’intrusion au niveau du système d’exploitation (par exemple OSSEC, CISCO CSA, ...) 14. Si vous suspectez une intrusion, faites un snaphost de l’instance et stoppez-là. (*) 15. Développez vos applications de façon sécurisée (OWASP). 22 la sécurité du cloud computing le temps d’un café
  • 23. cloud iaas : 15 recommandations pour des serveurs sécurisés Normalement, pour devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d’options. Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation. PS : rien de bien magique pour un administrateur système/ sécurité expérimenté. Surtout qu’avec la virtualisation le copy/ paste d’instances virtuelles offre un niveau d’industrialisation que l’on ne connait pas dans les serveurs dédiés. Bon cloud ! l’article en ligne cloud IaaS : 15 recommandations pour des serveurs sécurisés la sécurité du cloud computing le temps d’un café 23
  • 24. la sécurité du cloud computing le temps d’un café
  • 25. forrester : la sécurité des services cloud dans le collimateur forrester : la sécurité des services cloud dans le collimateur par Jean-François Audenard Dans l’une des dernières études de Forrester intitulée “Status, Challenges, And Near-Term Tactics For Cloud Services In Enter- prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents. Avant que les entreprises fassent massivement à savoir le “grand saut” vers les services cloud, des Vous devriez commencer réponses à 7 grandes interrogations devront par identifier vos besoins être apportées par les fournisseurs de services sécurité pour ensuite dans le nuage. Le premier d’entre-eux est la sélectionner votre sécurité : “Even so, perceptions and genuine fournisseur et ajouter technical hurdles put security as one of the vous-même ce qu’il ne biggest challenges to broader enterprise cloud propose pas services adoption”. La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes. Certains affirment que la sécurité dans le nuage est impos- sible alors que d’autres défendent becs et ongles le contraire : le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s’expliquer par le fait que le niveau des technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d’autres domaines. D’un autre coté, pour certains ser- vices “cloud” on peut dire que leur niveau de sécurité est arrivé à maturité. la sécurité du cloud computing le temps d’un café 25
  • 26. forrester : la sécurité des services cloud dans le collimateur pour certains services “cloud” at ten tion on peut dire que le niveau de sécurité est arrivé à maturité. 26 la sécurité du cloud computing le temps d’un café
  • 27. forrester : la sécurité des services cloud dans le collimateur J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d’ailleurs. Pour faire un parallèle : dans le cloud on peut retrouver des termes comme “private cloud”, “public cloud” ou encore “community cloud”. Mettez en face de chacun “une plateforme de mail dédiée hebergée”, “Gmail” ou encore des “services de messagerie electroniques pour le segment des entreprises” (suivez mon regard). Pour chacun de ces services “cloud” on sait faire dans le sé- curisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun. Quelle est la recommandation de Forrester ? Plutôt simple : “intégrez la sécurité dans les choix stratégiques et dans le pro- cessus de sélection”. Ce n’est pas une surprise : les entreprises ne pouvant “out- sourcer” leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s’appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud. “Il faut intégrer la sécurité dès le début du projet” : rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s’en assurer. PS: J’ai délibérément omis de parler de tout ce qui n’était pas en relation avec la sécurité. Ce document de Forrester n’étant pas focalisé uniquement sur la sécurité. l’article en ligne Forrester : la sécurité des services cloud dans le collimateur la sécurité du cloud computing le temps d’un café 27
  • 28. la sécurité du cloud computing le temps d’un café
  • 29. 5 documents de référence sur la sécurité du cloud computing 5 documents de référence sur la sécurité du cloud computing par Jean-François Audenard Voici 5 documents que je considère comme des “références” dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l’externalisation des systèmes d’information). Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l’anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance. #1 ANSSI Maîtriser les risques de l’infogérance (En français - 56 pages) Le premier c’est le “Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui nous propose un document très didactique. L’approche prise est clairement d’accompagner le lecteur/ lectrice vers une démarche de prise en compte de la sécurité dans un projet d’externalisation d’un système d’information. A noter une section relative à la définition d’un PAS (Plan d’Assurance Sécurité) et comment contractualiser des engagements de sécurité. la sécurité du cloud computing le temps d’un café 29
  • 30. 5 documents de référence sur la sécurité du cloud computing #2 Syntec Numérique Livre Blanc sécurité du Cloud Computing (En français - 24 pages) Le second c’est celui du Syntec Numérique “Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques”. Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du cloud, l’approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données. Le document est d’une lecture aisée car il évite un formalisme trop guindé, c’est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet. #3 Cloud Security Alliance Security Guidance for Critical Areas of Cloud Computing v3.0 (En anglais - 177 pages) Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide “Security Guidance for Critical Areas of Cloud Computing Version 3.0” est une “référence-de-référence” pour tout professionel du domaine. Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous. Ce n’est que la partie hébergée de l’iceberg : la Cloud Security 30 la sécurité du cloud computing le temps d’un café
  • 31. 5 documents de référence sur la sécurité du cloud computing Alliance propose bien d’autres documents. Mon conseil  : allez fouiller sur leur site, vous ne serez pas déçu(e) ! #4 ENISA, Cloud Computing Risk Assessment (En anglais - 125 pages) Le 4ième document est celui de l’ENISA, agence Européenne spécialisée dans la sécurité des systèmes d’information. Dans leur document “Cloud Computing, Benefits, risks and recommendations for information security”, l’ENISA nous propose une vision axée sur les risques liés aux cloud computing. C’est le document le plus complet de tous sur l’approche “risques”. Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées. Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants. #5 PCI DSS Virtualization Guidelines v2.0 (En anglais - 39 pages) Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est que les règles (ou “objectifs de sécurité”) sont précis et connus d’avance. Le niveau d’exigence est clairement fort. Le guide “PCI-DSS - Information Supplement: PCI DSS la sécurité du cloud computing le temps d’un café 31
  • 32. 5 documents de référence sur la sécurité du cloud computing Virtualization Guidelines” explicite de façon claire et précise ce qu’il convient de mettre en place au niveau d’une couche de virtualisation. Pour savoir que faire pour sécuriser votre hyperviseur c’est le document qu’il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels. mes deux préférés Sur ces 5 documents de référence, mes deux préférés sont celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide de la Cloud Security Alliance concentre “l’état de l’art” dans le domaine de la sécurité du cloud computing ; celui de l’ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d’un service de cloud computing. et ce n’est pas fini : quels sont vos documents de prédilection ? J’ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d’autres comme les documents du NIST, ceux de la NSA et j’en passe.... Quels sont les documents que vous considérez comme “de référence” ? C’est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne. l’article en ligne 5 documents de référence sur la sécurité du cloud computing 32 la sécurité du cloud computing le temps d’un café
  • 33. la sécurité du cloud computing le temps d’un café
  • 34. l’auteur Jean-François Audenard Au sein d’Orange Business Services, je suis en charge d’intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j’aime aller au delà des chantiers battus et faire “bouger les codes”. La franchise est ma “touche” et l’optimisme et le volontarisme mes deux moteurs. la sécurité du cloud computing le temps d’un café
  • 35. Document téléchargeable à : http://livres-blancs.orange-business.com/ Édité par Orange Business Services 30.03.2012 la sécurité du cloud computing le temps d’un café