la sécurité dans le cloud est devenu un défis de toute organisation dans cet article nous présentons brievement les différents menaces liés aux cloud computing aussi les solutions pour sécuriser les données dans le cloud...

1. Sécurité et confidentialité des données sensibles dans le
cloud computing: une enquête sur les développements
récents
EL HOUDAIGUI Bilal1
et SEKKOURI Salma2
Abstract— Le Cloud Computing est défini comme un
mode de traitement des données du client, dont l’ex-
ploitation s’effectue par Internet, où les ressources sont
partagées, les logiciels et les informations sont fournis
par un prestataire.
Depuis que le Cloud Computing utilise des ressources
distribuées dans des environnements ouverts, il est donc
important d’assurer la sécurité et la confiance pour par-
tager les données pour le développement des applications
du Cloud Computing.
I. INTRODUCTION
Le Cloud Computing est défini comme un mode
de traitement des données du client, dont l’ex-
ploitation s’effectue par Internet, sous la forme de
services fournis par un prestataire. L’informatique
en nuage est une forme particulière de gérance
informatique, dans laquelle l’emplacement et le
fonctionnement du nuage ne sont pas portés à la
connaissance des clients. Il permet l’accès via le
réseau, à la demande et en libre-service, à des res-
sources informatiques virtualisées et mutualisées
généralement facturées à l’usage ; trois types de
services sont proposés (IaaS – Infrastructure as
a Service, PaaS – Platform as a service, SaaS
– Software as a Service), déployés selon quatre
modèles (Cloud privé interne, Cloud privé externe
1
B. EL HOUDAIGUI étudiant en Master Bio-Informatique et
Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences
Appliquées de Tanger
2
S. SEKKOURI étudiante en Master Bio-Informatique et
Systèmes Complexes (MBISC) à l’Ecole Nationale des Sciences
Appliquées de Tanger
ou Cloud communautaire, Cloud public, Cloud
hybride) [1].
Dans cet article, nous montrons comment assu-
rer la sécurité des nuages, la confidentialité et la
fiabilité lors du traitement des données sensibles.
Nous allons également présenter les caractéris-
tiques du Cloud Computing, les risques de sécurité
rencontrés, les solutions proposées et la privacy des
données sensibles.
II. MÉCANISME DE VIRTUALISATION
Avant de parler sur le Cloud, on doit introduire
une notion très importante nommée Hyperviseur.
Un hyperviseur est une plate-forme de virtuali-
sation qui permet à plusieurs systèmes d’exploita-
tion de travailler sur une même machine physique
en même temps.
Ils sont classés actuellement en deux catégories
[2] :
Type 1 : C’est un logiciel qui s’exécute directe-
ment sur une plateforme matérielle, il est considéré
comme outil de contrôle de système d’exploitation.
Un système d’exploitation secondaire peut, de ce
fait, être exécuté au-dessus du matériel.
Type 2 : C’est un logiciel qui s’exécute à l’in-
térieur d’un autre système d’exploitation. Un sys-
tème d’exploitation invité s’exécutera donc en troi-
sième niveau au-dessus du matériel. Les systèmes
d’exploitation invités n’ayant pas conscience d’être
virtualisés. Quelques exemples de tels hyperviseurs
sont VMware Server et VirtualBox d’Oracle.

2. Fig. 1. Les deux types d’hyperviseurs (Source : https://goo.gl/
MhgZWg)
Xen et KVM (Kernel Virtual Machine) sont
deux exemples populaires d’hyperviseur open
source (respectivement de Type 1 et Type 2).
Xen : est une solution libre de virtualisation
permettant de faire tourner plusieurs systèmes
d’exploitation sur une même machine physique. Il
est de type hyperviseur, c’est à dire qu’il vient
s’insérer entre le matériel et le noyau. Xen est
considéré comme une solution à base de para-
virtualisation, car les systèmes invités doivent être
modifiés pour cohabiter.
KVM : Est un projet de virtualisation complète
qui est actuellement en développement pour un
module de para-virtualisation. Il est intégré depuis
le noyau Linux 2.6.20 et permet une virtualisation
matérielle des processeurs. Ainsi, il ne fonctionne
que sur un processeur de type Intel VT ou AMD-V.
III. LES CARACTÉRISTIQUE D’UN CLOUD
A. Les modèles de déploiement
Le Cloud Computing est une solution qui fournit
un espace dans lequel il est possible de placer
virtuellement des infrastructures serveur ou réseau,
des plateformes de développement ou d’exécution
etc, il existe différentes typologies du Cloud [9] :
Le Cloud Privé est la typologie de Cloud la plus
répandu, en 2013, 73% des Clouds déployés dans
les entreprises sont des Clouds privés.
Le Cloud public est accessible par Internet et
géré par un prestataire externe. Il est ouvert au
public ou à de grands groupes industriels. Cette
infrastructure est possédée par une organisation
qui vend des services Cloud. C’est le cas le plus
courant.
Le Cloud hybride ou mixte associe l’utilisation,
pour une même entreprise, d’un Cloud privé et
d’un Cloud public. Ces infrastructures sont liées
entre elles par la même technologie qui autorise la
portabilité des applications et des données.
Le Cloud communautaire est utilisé par plu-
sieurs organisations qui ont des besoins communs.
Ce Cloud est donc plutôt dédié à une commu-
nauté professionnelle spécifique incluant parte-
naires, sous-traitants... pour travailler de manière
collaborative sur un même projet ou Cloud gou-
vernemental dédié aux institutions étatiques.
B. Les niveaux de services
La partie visible du Cloud Computing se décom-
pose en 3 parties [3] :
Saas : Dans la partie Saas (Software as a Ser-
vice) est un produit final qui est exécuté et géré
par le prestataire de services [8] dont on retrouve
des logiciels comme Gmail, Google Document,
YahooMail etc ...
PaaS : La seconde partie, le PaaS (Platform
as a service) consiste à fournir une architecture
composée des librairies et framework nécessaires
à une application ou bien à un pack d’application.
Plusieurs services sont installables sur une pate-
forme, on peut citer par exemple Google Apps.
IaaS : La troisième et dernière partie est l’IaaS
(Infrastructure as a Service). Il s’agit de la location
d’un serveur dédié. On fournit dans ce cas de la
puissance de calcul, de l’espace de stockage et du
réseau. Amazon Web Services est dans ce cas.

3. Fig. 2. Les modèles de déploiement
C. Avantages et inconvénients
Le cloud computing est généralement associé à
une multitude d’avantages [12] :
L’accessibilité : Les données sont sur un
serveur, consultables à n’importe quel mo-
ment et où que l’on soit via une connexion
Internet.
Partage et travail collaboratif : On peut
également partager nos ressources et per-
mettre ainsi un travail à plusieurs.
Économique : Le prestataire gère complè-
tement les aspects techniques du service et
des coûts engendrés. Il n’y a pas besoin
d’investir en matériel (car on ne paye que
ce qu’on consomme).
Fiabilité : Les services basés sur des infra-
structures performantes possédant des poli-
tiques efficaces de tolérance aux pannes.
Et inconvénients :
Connexion Internet obligatoire : Sans
celle-ci, inutile d’espérer pouvoir accéder
aux ressources.
Transportabilité des données : Les données
sont-elles "prisonnières" du service aux-
quelles elles sont liées ? C’est parfois le cas,
Google Wave en est un exemple.
Sécurité et intégrité des données : En
regroupant des ressources sur Internet on
perd une partie du contrôle sur celles-ci.
Dès lors que des données, même chiffrées,
transitent sur Internet, le risque de piratage
est bien plus présent que sur une utilisation
locale.
Il est donc primordial de prendre conscience des
limites que le Cloud Computing impose.
IV. LES RISQUES DE SÉCURITÉ MAJEURS DU
CLOUD COMPUTING
Plusieurs études menées par des spécialistes
tels que ISACA (Information Systems Audit and
Control Association) et CSA (Cloud Security Al-
liance) ont permis d’identifier douze points qui
constituent les menaces majeures à la sécurité des
données et à celles des applications en cloud [4].
1. L’existence de brèches de sécurité tant sur
l’une des couches logiques du Datacenter
que celles issues d’erreurs humaines.
2. La fragilité dans la gestion des accès et
des identités, bien que certains fournisseurs
renforcent les interfaces d’authentification
avec d’autres moyens tels que les certificats,
les smartcards, la technologie OTP et bien
d’autres.
3. L’utilisation d’API non sécurisées pour l’in-
tégration des applications avec les services
cloud.
4. L’exploit de vulnérabilités des systèmes
d’exploitation sur les serveurs du cloud et
même sur les applications hébergées.
5. Le piratage de compte, qui est un vieux type
d’attaque informatique, vient avec une forte
recrudescence depuis l’avènement d’Internet
et encore celui du cloud computing.
6. Une action malveillante initiée en interne
dans les effectifs du fournisseur. Une per-
sonne malveillante dans l’équipe de gestion
du Datacenter peut facilement nuire à la
confidentialité et l’intégrité des environne-
ments hébergés.
7. Les menaces persistantes avancées (en an-
glais, APT : Advanced Persistent Threats)
qui consistent en une forme d’attaque où

4. le hacker réussit à installer d’une façon
ou d’une autre un dispositif dans le réseau
interne de l’organisation, à partir duquel il
peut extirper des données importantes ou
confidentielles. C’est une forme d’attaque
difficile à détecter pour un fournisseur de
services cloud.
8. La perte de données qui peut être causée par
une attaque informatique (logique) du Da-
tacenter, une attaque physique (incendie ou
bombardement), une catastrophe naturelle,
ou même simplement à un facteur humain
chez le fournisseur de services, par exemple
en cas de faillite de la société.
9. Les insuffisances dans les stratégies internes
d’adoption ou de passage au cloud. Les
entreprises ou les organisations ne prennent
pas souvent en compte tous les facteurs de
sécurité liés à leur fonctionnement avant de
souscrire à un service cloud. Certaines né-
gligences, tant au niveau du développement
d’application qu’au niveau de l’utilisation
basique, leur sont parfois fatales.
10. Utilisation frauduleuse des technologies
cloud en vue de cacher l’identité et de per-
pétrer des attaques à grande échelle. Géné-
ralement, il s’agit de comptes créés pendant
les périodes d’évaluation (la plupart des FAI
proposent 30 jours d’essai gratuits) ou des
accès achetés frauduleusement.
11. Le déni de service qui est une attaque qui
consiste à rendre indisponible un service par
une consommation abusive des ressources
telles que les processeurs, la mémoire ou le
réseau. L’idée, pour le pirate, c’est de réussir
à surcharger les ressources du Datacenter
en vue d’empêcher d’autres utilisateurs de
profiter des services.
12. Les failles liées à l’hétérogénéité des techno-
logies imbriquées dans l’architecture interne
du cloud, et l’architecture externe d’interfa-
çage avec les utilisateurs.
V. SOLUTIONS PROPOSÉES :
A. Authentification et Autorisation
OAuth2 : OAuth est un protocole libre (Actuel-
lement de version 2.0) qui permet d’autoriser une
application client à utiliser l’API sécurisée d’une
autre application pour le compte d’un utilisateur.
L’intérêt majeur d’OAuth vient du fait que l’uti-
lisateur n’a plus besoin de fournir ses informa-
tions d’identification à une application tierce car
la connexion se passe sur l’application de l’API.
Cela suppose que l’utilisateur lui a à priori fait
confiance [5].
Role-Based Access Control (RBAC) : Fait ré-
férence à la méthode permettant de mettre en place
la gestion des droits d’accès dans une entreprise.
Avec cette méthode, les droits d’accès ne sont pas
attribués au cas par cas en fonction d’un individu,
mais sur la base de rôles RBAC. Ces rôles sont
ensuite à leur tour définis en fonction du service,
du poste, de l’emplacement et du centre de coûts
de l’employé dans l’entreprise. Les rôles RBAC
sont en général consignés et enregistrés dans une
matrice RBAC [6].
MiLAMob : Est un framework de middleware
centré qui simplifie le processus d’authentification
en temps réel. Le middleware utilise la technique
OAuth 2.0 (par exemple Facebook, Google+ et
personnels Login) pour identifier l’utilisateur final
et utilise des jetons de sécurité pour gérer l’au-
thentification fastidieuse avec Amazon S3 pour le
compte de l’utilisateur/demandeur [14].
FermiCloud : Utilise une autre approche pour
l’authentification et l’autorisation, basée sur le
PKI (public key infrastructure) X.509. La PKI, ou
Public Key Infrastructure ou encore Infrastructure
à clé publique permet de sécuriser de façon globale
l’accès à un réseau, à des informations et données.
La PKI est utilisée dans les domaines suivants :
E-mail, e-commerce, VPNs (réseau privé virtuels),
Extranets. Elle permet d’assurer de bout en bout la

5. sécurisation des accès et de transferts de données.
Plusieurs éléments entrent en jeu dans ce système,
notamment les serveurs de certificats et d’authen-
tification, les signatures électroniques, le cryptage
du traffic internet [23].
B. Identité et gestion d’accès
Shibboleth : Est un logiciel Open Source, qui
établit une relation de confiance entre une entité
bien définie et autre identifiée. Il assure un accès
filtré et sécurisé aux ressources de ces entités
limité uniquement aux membres de ces mêmes
entités. Shibboleth, dans sa version 2, se place ainsi
comme le logiciel Open Source de référence de
fédération d’identité qui supporte la norme SAML
2.0 [15].
SAML (Security Assertion Markup Language) est
un standard définissant un protocole pour échanger
des informations liées à la sécurité, à la fédération
et à la délégation d’identités. Basé sur le langage
XML, SAML a été développé par OASIS [16]
(The Organization for the Advancement of Structu-
red Information Standards, un consortium mondial
qui travaille pour la standardisation de formats de
fichiers ouverts basés notamment sur XML [17]).
Le problème le plus important que SAML tente
de résoudre est celui de l’authentification unique
SSO (Single Sign-On) sur le web. Il s’agit de
permettre à un utilisateur de naviguer sur plusieurs
sites différents en s’authentifiant une seule fois,
sans pour autant que ces sites aient accès à des
informations trop confidentielles.
IBHMCC (identity-based hierarchical model
for cloud computing) : Dans le Cloud Compu-
ting, il est fréquent que les entités communiquent
mutuellement entre eux. Pour parvenir à la sécurité
dans la communication, il est important de propo-
ser un cryptage et régime de signature. Par consé-
quent, en [18] proposent un chiffrement basé sur
l’identité (IBE) et signature identitaire (IBS) pour
les régimes IBHMCC. Dans le cadre identitaire,
tel que proposé par Shamir en 1984 [22], la clé
publique d’un utilisateur est tout simplement son
identité, ce qui simplifie les exigences de PKI [19].
IBE (Identity-Based Encryption) permet à un
expéditeur de chiffrer un message sans accès à
un certificat de clé publique. Cette méthode a de
nombreuses applications pratiques. Par exemple,
un utilisateur peut envoyer un courrier chiffré à
un destinataire, sans exiger une existence d’une
infrastructure à clé publique (PKI) [19].
C. Confidentialité, Intégrité, et disponibilité
Swap and Play : Les hyperviseurs fournissent
les moyens d’exécuter plusieurs machines vir-
tuelles isolées sur le même hôte physique. En
règle générale, la mise à jour des hyperviseurs
nécessite un redémarrage de l’hôte conduisant à
l’interruption des services qui est hautement indé-
sirable, en particulier dans les environnements de
Cloud computing. Néanmoins, les mises à jour de
sécurité doivent être appliquées rapidement pour
réduire le risque d’attaques, exigeant une solution
qui élimine le compromis entre la disponibilité et
les risques de sécurité. La mise à jour en direct, en
général, est très difficile et a été étudié pendant des
décennies. Cependant, toutes les solutions propo-
sées à ce jour nécessitent une modification du flux
de contrôle du logiciel et/ou la cause de la dégra-
dation des performances. De plus, actuellement, il
n’y a pas de solutions pour la mise à jour en direct
des hyperviseurs et tous les principaux produits
(par exemple, Hyper-V, Xen, ESXi) nécessitent
un redémarrage pour la mise à jour, Dans [38],
les auteurs proposent Swap and Play, le premier
mécanisme du mise à jour en direct pour les
hyperviseurs, cette solution est facile à utiliser,
évolutive et, en particulier, déployable dans des
environnements de Cloud computing [21].
D. Surveillance de la sécurité et de réponse aux
incidents
E. Gestion politique de sécurité
A4cloud : a pour but de développer les solutions
pour assurer la responsabilité et la transparence

6. dans les environnements du Cloud computing.
Les utilisateurs doivent avoir la possibilité de
suivre leur utilisation de données pour savoir com-
ment le fournisseur de Cloud répond à leurs at-
tentes en matière de protection des données. A cet
effet, les fournisseurs de Cloud doivent employer
des solutions qui fournissent aux utilisateurs le
contrôle et la transparence appropriées sur leurs
données [10].
PMaaS est défini comme les capacités fournies
aux clients de gérer les politiques d’accès aux
services et produits en cours d’exécution sur une
infrastructure cloud qui est accessible via des in-
terfaces.
VI. PRIVACY DES DONNÉES SENSIBLES
Le cloud computing introduit de nouveaux
risques, que ce soit pour le partage des respon-
sabilités, la localisation des données ou la mutua-
lisation [13], de même les informations sensibles
dans le contexte du cloud computing englobe les
données à partir d’un large éventail de domaines
et de disciplines [10].
Les données médicales sont le meilleur exemple
qui soulèvent de nombreuses craintes en termes de
sécurité, de respect de la vie privée et de fiabilité.
Bien entendu, le respect de la vie privée est un
aspect crucial pour les fournisseurs de soins de
santé lorsqu’ils décident de mettre en place un
système basé sur le cloud computing [11].
D’une manière générale, le passage au Cloud
computing demande un changement d’approche de
l’entreprise en ce qui concerne ses services infor-
matiques, le passage au Cloud suppose également
une modification des pratiques des utilisateurs :
à titre d’exemple, la question de la sécurité des
moyens d’authentification devient beaucoup plus
cruciale quand les données de l’entreprise sont
accessibles depuis n’importe quel poste connecté
à Internet. Pour le client, le passage au Cloud
demande donc un lourd travail de révision des
procédures internes et de formation du personnel
[13].
VII. CONCLUSION
Le cloud computing est un service auquel les
gens s’abonnent via internet, et qui leur permet de
bénéficier de services sans avoir à investir dans du
nouveau matériel ce qui pose le problème de la
confidentialité du stockage des données.
La sécurité absolue n’existe pas, donc le pro-
blème de sécurité reste le plus souvent un pro-
blème de confiance entre le fournisseur de service
et le consommateur de service. Cette confiance se
traduit par la signature d’un contrat nommé SLA
(Service Level Agreement). Ce contrat précise les
taux de disponibilité du service. En règle générale,
et pour la plupart des fournisseurs, ce taux est
supérieur à 99 %.
REFERENCES
[1] ACP, Analyses et Syntheses, Les risques as-
sociés au Cloud computing, 2013. Disponible
sur : http://www.banque-france.fr/uploads/media/
201307-Risques-associes-au-Cloud-computing_01.pdf
[2] Wikipédia, Hyperviseur. Disponible sur : https://fr.wikipedia.
org/wiki/Hyperviseur
[3] Le cloud computing, Les différents types et niveaux de cloud
computing. Disponible sur : http://www-igm.univ-mlv.fr/~dr/
XPOSE2009/cloudcomputing/types.html
[4] CSA, The Treacherous 12, Cloud Computing Top
Threats in 2016. Disponible sur : https://downloads.
cloudsecurityalliance.org/assets/research/top-threats/
Treacherous-12_Cloud-Computing_Top-Threats.pdf
[5] Hoby RATSITOBAINA, OAuth : Comment ça
marche ?, 2014. Disponible sur : http://blog.netapsys.fr/
oauth-comment-ca-marche/comment-page-1
[6] TOOLS4EVER, Qu’est-ce que le Role Based Access
Control (RBAC) ? Disponible sur : https://www.
tools4ever.fr/logiciel/iam-solution-gestion-des-identites/
quest-ce-que-le-role-based-access-control
[7] Yann Desmarest, Identification et authentification
dans le cloud avec SAML, 2015. Disponible
sur : https://www.e-xpertsolutions.com/e-news/
identification-et-authentification-dans-le-cloud-avec-saml
[8] Systancia, Le Cloud Computing, Les différents modèles et
niveaux de services du Cloud Computing. Disponible sur :
http://www.systancia.com/fr/modeles-du-cloud-computing
[9] wikiversity, Cloud computing et entreprise : Les modèles
de déploiement du Cloud, 2016. Disponible sur : https:
//fr.wikiversity.org/wiki/Cloud_computing_et_entreprise/Les_
mod%C3%A8les_de_d%C3%A9ploiement_du_Cloud

7. [10] Ali Gholami and Erwin Laure, SECURITY AND PRIVACY
OF SENSITIVE DATA IN CLOUD COMPUTING : A SUR-
VEY OF RECENT DEVELOPMENTS, 2015. Disponible
sur : https://arxiv.org/ftp/arxiv/papers/1601/1601.01498.pdf
[11] Lyndsey Gilpin, Santé : quel Cloud computing pour ce secteur
sensible ?, 2015. Disponible sur : http://goo.gl/alSLqY
[12] ANNA M., Avantages et inconvénients du Cloud Compu-
ting, 2012. Disponible sur : http://www.yeswecloud.fr/cloud/
avantages-et-inconvenients-du-cloud-computing-2-810.html
[13] Bertrand Pailhès et Armand Heslot, INTRODUCTION AU
CLOUD COMPUTING : RISQUES ET ENJEUX POUR LA
VIE PRIVEE, 2012. Disponible sur : http://goo.gl/8NxnKB
[14] Richard K. Lomotey et Ralph Deters, Middleware-Layer for
Authenticating Mobile Consumers of Amazon S3 Data, 2013.
Disponible sur : http://dl.acm.org/citation.cfm?id=2497218
[15] Thierry Albain, Shibboleth : la fédération d’identité en
mode Open Source (par Thierry Albain, SQLI), 2010. Dis-
ponible sur : http://www.journaldunet.com/developpeur/xml/
shibboleth-decryptage.shtml
[16] JANUA, SAML – Fédération d’identités – OpenAM
– Shibboleth. Disponible sur : http://www.janua.fr/
saml-federation-didentites
[17] Wikipédia, Organization for the Advancement of
Structured Information Standards, 2013. Disponible
sur : https://fr.wikipedia.org/wiki/Organization_for_the_
Advancement_of_Structured_Information_Standards
[18] Martin Gilje Jaatun, Cloud Computing First International
Conference, CloudCom 2009 Beijing, China, December
2009 Proceedings ,page 159, 2009. Disponible sur : https:
//books.google.co.ma/books?id=VKHwHChUFtUC&pg=
PR1&lpg=PR1&dq=Cloud+Computing+First+International+
Conference,+CloudCom+2009+Beijing,+China,+December+
2009+Proceedings&source=bl&ots=2zK_t38pxt&sig=
3nHW9BUKYVYSPh3GUNBWW2HECU4&hl=fr&sa=X&
redir_esc=y#v=onepage&q=Cloud%20Computing%20First%
20International%20Conference%2C%20CloudCom%
202009%20Beijing%2C%20China%2C%20December%
202009%20Proceedings&f=false
[19] Amit Sahai et Brent Waters, Fuzzy Identity-Based Encryp-
tion, 2005. Disponible sur : http://link.springer.com/chapter/
10.1007/11426639_27
[20] Eike KILTZ a Gregory NEVEN b , Identity-Based Signatures.
Disponible sur : http://homepage.ruhr-uni-bochum.de/Eike.
Kiltz/papers/ibschapter.pdf
[21] Franz Ferdinand Brasser ; Mihai Bucicoiu ; Ahmad-Reza
Sadeghi, Swap and Play : Live Updating Hypervisors and Its
Application to Xen, 2014. Disponible sur : https://www.trust.
informatik.tu-darmstadt.de/publications/publication-details/
?no_cache=1&tx_bibtex_pi1[pub_id]=TUD-CS-2014-0918
[22] Adi Shamir, IDENTITY-BASED CRYPTOSYSTEMS
AND SIGNATURE SCHEMES, 1984. Disponible
sur : https://discovery.csc.ncsu.edu/Courses/csc774-S08/
reading-assignments/shamir84.pdf
[23] unixtech, C’est quoi la PKI ?. Disponible sur : http://www.
gavage.com/ifpi-belge-poursuit-les-utilisateurs-de-napster