2. 2
Services ICT partagés pour des
institutions publiques
Développement
applicatif
Infrastructures
Personnel
spécialisé
ICT pour l’emploi, la santé & la famille
• Fournisseur ICT ‘in-house’
• ASBL contrôlée par les
institutions membres
• Focus sur la sécurité sociale &
les soins de santé
• 1750 collaborateurs
• 222 millions d’EUR CA (2012)
A propos de Smals
4. 4
Introduction
Hard-discount de l’IT
• Accès immédiat
• Libre-service
• Choix de la quantité
d’articles
• Paiement uniquement des
articles choisis
• Provenance des articles
transparente pour
l’utilisateur
6. 6
Technologies utilisées
Mutualisation des ressources
Mutualisation
• Services de base
configurables
• Pool de machines de
taille ajustable
• Bonne tolérance aux
pannes Couche d’administration
Middleware
DB
7. 7
Technologies utilisées
Equipements réseaux
Protection du trafic entrant et sortant (schémas simplifiés)
Web security Gateway
Internet
Router
Traffic shaper
Firewall
Load Balancer
Reverse proxy
IDS
WAF
IDS : Intrusion Detection System
WAF : Web Application Firewall
EDLP : Endpoint Data Loss Prevention
Proxy DLP
Workstation
+ EDLP
8. 8
Technologies utilisées
Gestion du stockage
Utilisation d’équipements adaptés
Emploi de systèmes de fichiers distribués (GlusterFS, HDFS,
…)
SITE 2SITE 1
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
Data
SAN
VS
11. 11
Technologies utilisées
Et le reste…
Et bien plus encore :
DAM
Logging
Archivage
Backup
DRP
Honeypot
Groupe Diesel + Batteries
…
Nombreux domaines d’expertise requis
15. 15
Sécurité
Les fournisseurs ne se valent pas tous
Le fournisseur vous protège des attaques extérieures : sécurité
généralement bonne, mais à évaluer
De l’intérieur, c’est autre chose (ex : Dropbox)
La documentation est-elle sérieuse ? Mauvais exemple :
cryptage md5 160 bits Oh Gosh !!!
Chiffrement pas suffisant :
comment sont chiffrées les données
comment sont générées les clés (PBKDF2)
utilisation de padding
évaluer les mécanismes de récupération de mots de passe
…
ECB CBC
16. 16
Sécurité
Chiffrer n’est pas un gage de sécurité
• L’administrateur d’une infrastructure IaaS peut parfois récupérer les
clés de chiffrement
• Pour s’en prémunir partiellement, vérifier que l’amorce du système
n’a pas été modifiée
17. 17
Sécurité
Une solution prometteuse
Chiffrement homomorphique (Prometteur, mais encore immature)
Soit :
m = message clair
c(m) = message chiffré
Chiffrement homomorphique si
c(m1m2) = c(m1)c(m2)
c(m1 + m2) = c(m1) + c(m2)
Possibilité d'effectuer des opérations sur des données chiffrées
Les données manipulées dans le cloud restent chiffrées en
mémoire et ne sont accessibles que par l’utilisateur final (le
fournisseur n’a accès à rien)
18. 18
Sécurité
Threshold encryption
X personnes ont une clé, il faut qu’un minimum d’entre eux
soient présents pour déchiffrer le message
Ex : 4 utilisateurs, seuil de 3
Message :
Lepczé’fàlz qsojràé,&à Hello WorldSq6µ&fnjcT
19. 19
Sécurité
Chiffrer les données avant de les envoyer
Solutions pour chiffrer les
données avant de les envoyer
dans le cloud
Ex :
Boxcryptor
Ciphercloud
20. 20
Conclusion
Il est possible de trouver des solutions de grande qualité
dans le cloud
Les grands acteurs du cloud ont une économie d’échelle
impossible à atteindre pour des petites entreprises
Les services dans le cloud sont parfois interdépendants =>
se renseigner sur les dépendances
Les attaques peuvent venir de l’extérieur, mais aussi de
l’intérieur
Evaluer les risques de son projet afin de déterminer le
niveau de sécurité requis