Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Les risques des médias sociaux pour les organisations
La sécurité et le Cloud Computing
1. La sécurité dans
le Cloud v.8
Octobre 2011
Présenté au CQSI 2011
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
2. Contenu de la conférence
1. Concept du Cloud Computing
2. Risques : menaces, vulnérabilités, mesures de contrôle,
impacts
3. Intégrer le Cloud Computing dans votre gestion de la
sécurité
La mention des produits, des services ou des compagnies dans ce document ne doit pas
être interprétée comme étant une recommandation ou une promotion.
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 2
3. Qui suis-je ?
Spécialiste en sécurité de l’information
Tactika inc.
Architecture de sécurité, audit et conseil normes ISO2700X, Gestion
des risques
Clientèle : Gouvernemental et paragouvernemental, grande
entreprise et PME
Une trentaine d’années d’expérience
Télécommunication, réseaux locaux et étendues, Conception et
prestation de cours, Administration de système Unix, Webmestre,
Architecture technologique
Certifications : CISSP, CISA et autres lettres de l’alphabet
Intérêt et utilisation du Cloud depuis 2008
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 3
4. Le Cloud est-il
incontournable ?
Le cloud computing / informatique en nuage /
infonuagique / informatique nuagière est un concept
qui a dépassé le stade du «buzz word» pour devenir
une réalité tangible et incontournable .
Les TI seront profondément transformées dans les
années à venir … à vrai dire c’est déjà commencé !
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 4
5. Qu’est-ce que le
Cloud Computing ?
Le Cloud Computing est un modèle de prestation de services TI
dématérialisée qui repose sur les technologies Internet et la
virtualisation.
Libre service et sur demande
Élastique, extensible (scalable)
Accessible par un réseau de type TCP/IP (i*net)
Partagé, multi-locataire (multi-tenant)
Utilisation mesurée ( éventuellement facturée )
Niveau de service déterminé (entente de service / SLA )
Analogie entre les TI et l’électrification
Les services TI deviennent une commodité
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 5
6. Le modèle du Cloud vs
le modèle traditionnel
Modèle traditionnel
clement.gagnon@tactika.com
Cloud
Organisation
Organisation Organisation
Individu
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 6
7. Différence entre le Cloud et
l’impartition
Impartition
Non partagé, un locataire
Une entente de service / SLA spécifique
Fournisseur
Client
Cloud
Partagé, multi-locataire
Même entente de service
/SLA pour tous
La sécurité dans le Cloud
7
Clément Gagnon Tactika inc.
8. Le marché
http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html
clement.gagnon@tactika.com
http://www.wordle.net/
Construit avec
http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 8
9. Les bénéfices du Cloud
Coût ►CTP (coût total de possession / TCO) réputé
moindre que le modèle traditionnel
Retour sur l’investissement / ROI rapide et tangible
► Coût facturé uniquement sur l’utilisation,
demande peu d’effort de mise en œuvre
Agilité et gestion simplifiée ► Mise en service
rapide, disponible immédiatement , délestage rapide
Élasticité, extensibilité ► Gestion simplifiée de la
capacité
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 9
10. Modèles de prestation
de services
IaaS PaaS SaaS
Infrastructure as a Service Platform as a Service Software as a Service
Service as a Service
Service de traitement (CPU), de Service de plates-formes Service d’applications,
stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la
programmables, facturation , surveillance,
paramétrables, configurables sécurité, etc.
Ex. Système d’exploitation
Windows Server 200X, Ex. CRM (software),
Espace disque Ex. Sharepoint anti-virus (service)
Abstraction
Objet du client Software
(Application)
Plate-forme Plate-forme
Infrastructure Infrastructure Infrastructure
IaaS PaaS SaaS
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 10
11. Les acteurs dans le modèle
de prestation de
services Client / opérateur Client / utilisateur
Interface
de gestion
Objet du client Software
(Application)
Objet du
client
clement.gagnon@tactika.com
Plate-forme Plate-forme
Infrastructure Infrastructure Infrastructure
Fournisseur
IaaS PaaS SaaS
Opérateur
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 11
12. Vue fournisseur : partagé,
multilocataire, virtualisation
Fournisseur
clement.gagnon@tactika.com
Opérateur
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 12
13. Les modèles de déploiement
Cloud
privé
Organisation
Cloud public
Cloud privé
Organisation
clement.gagnon@tactika.com
Cloud public
Cloud privé
Cloud de
communauté
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 13
14. Un cas …
Software
(Application)
Vous.com
DNS
Plate-forme
Vous.com Infrastructure
clement.gagnon@tactika.com
Vous.com Web SaaS
BD & SAN
Surveillance
De la
disponibilité Votre client
Software Ex. Amazon Web Services Ex. easyDNS
(Application)
Plate-forme
Software
Ex. iWeb
Service (Application) Software Analyse
Infrastructure Software
de paiement (Application)
(Application)
d’affluence
Plate-forme
SaaS Vous.com Plate-forme
Plate-forme
Courriel
Infrastructure
Infrastructure SMTP/POP Infrastructure
SaaS SaaS
SaaS
clement.gagnon@tactika.com
Ex. Uptrends Ex. Google
Analytics
Ex. NvoicePay Ex. Gmail
Vous
La sécurité et le Cloud Computing -
14
Clément Gagnon - Tactika inc.
15. Modèle générique du risque
Surfaces d’attaque
Probabilité
Mesure(s)
Menace(s) de contrôle
Vulnérabilité(s)
RISQUE
clement.gagnon@tactika.com
Impact(s)
Disponibilité
Intégrité
Confidentialité
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 15
16. Surfaces d’attaque
Humain
Plate-forme matérielle / poste de travail
Lien de communication
Point d’accès
Client SaaS : couche applicative / logiciel
PaaS : couche plate-forme applicative / logiciel
Fournisseur
IaaS : couche système d’exploitation / logiciel
clement.gagnon@tactika.com
Infrastructure de virtualisation et arrière-boutique
Humain
Plate-forme matérielle / poste de travail
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 16
17. Aperçu des menaces
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant, XSS
(cross site scripting), Phishing, DNS poisoning
Panne, désastre, Interception (MITM), déni de service
BOF, Injection SQL, Déni de service, Attaque brute
sur l’authentification
clement.gagnon@tactika.com
Changement non annoncé ou non planifié
Code malveillant, Attaque brute sur
l’authentification, Attaque sur l’hyperviseur,
Déni de service
Panne, désastre,
injection de code, mauvaise paramétrisation
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant,
XSS (cross site scripting), Phishing, DNS poisoning
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 17
18. Principales mesures
de contrôle pour la sécurité
de l’infrastructure Anti-virus, anti-logiciel espion, correctif
Chiffrement, lien sécurisé
Relève, redondance
Contrôle d’accès authentification (forte), réseau
clement.gagnon@tactika.com
Détection des intrusions
Contrôle d’accès physique de l’infrastructure
Contrôle d’accès authentification (forte), réseau
Signature et chiffrement
Contrôle des vulnérabilités : correctifs
Relève, redondance
Journalisation, anti-virus, anti logiciel-espion, IDS/IPS
Contrôle d’accès : authentification (forte) & réseau
Détection des intrusions, journalisation
Anti-virus, anti-logiciel espion, correctifs
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 18
19. Autres mesures de contrôle
Définition dans l’entente de service/SLA des
éléments de sécurité
Acceptation implicite des risques !
Sensibilisation et formation des utilisateurs
Audit (vous et le fournisseur/tiers)
Test d’intrusion (limité par le SLA et le modèle de
prestation)
Relève, redondance (vous versus le tiers)
Surveillance (monitoring)
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 19
20. Principales vulnérabilités
Conformité
Aspects juridiques ►Multiples législations ► Géolocalisation des données
Maturité de l’organisation
Gouvernance absente ou relâchée, état du SMSI
Entente de service/SLA
Mal définie, incomplète
Votre infrastructure
Des composants et de la gestion de ces composants
Infrastructure du tiers
Des composants et de la gestion de ces composants
Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)
Difficulté d’enquête (forensique) en cas d’incident
Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)
Gestion des changements, gestion des incidents
Pérennité du tiers
Maturité du tiers
Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 20
21. Impacts – Quelques cas réels
Disponibilité
Avril 2011 Panne majeure chez Amazon
Août 2011 Panne mineure Amazon
Plusieurs sites importants tel que Foursquare, Reddit, etc subissent des pertes de
disponibilité de plusieurs heures.
http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html
Confidentialité
Mars 2011 Lors d’une vérification, GoGrid découvre une intrusion dans sa base de
données client (arrière- boutique, carte de crédit).
Elle avise les institutions financières et ses clients et elle offre un service de
surveillance de crédit.
http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/
Intégrité
Février 2010 52 sites web du congrès étasunien ont subi une défiguration.
Ils étaient hébergés dans le Cloud par un contractant.
http://www.theaeonsolution.com/security/?p=207
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 21
22. La perception du risque
et le Cloud
En affaires, le risque est perçu En sécurité de l’information, le risque
comme une opportunité ou comme un est perçu comme une menace qui
événement négatif. exploite une vulnérabilité.
Les bénéfices du Cloud sont une Les problèmes du Cloud :
opportunité. Une organisation peut Les risques d’un tiers peuvent
démontrer un appétit et une tolérance devenir mes risques ...
aux risques dans sa recherche Si plusieurs tiers sont impliqués,
d’opportunités. les risques des tiers sont «chainés».
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 22
23. «Chaîne» des tiers
Client
SaaS
clement.gagnon@tactika.com
Software
(Application)
Fournisseur
Client
Plate-forme
Infrastructure
IaaS
Fournisseur How Amazon Controls Ecommerce (Slides)
http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 23
24. Facteurs de risque
Selon son degré d’intégration dans les services TI, le Cloud peut devenir un
facteur de risque :
Le domaine d’affaires
La GRC (gouvernance, risque, conformité)
La prestation de services TI
Vos données
Le degré d’intégration désigne l’envergure, l’étendue et la criticité du
service Cloud.
Service de mesure de disponibilité de sites Web (intégration faible,
impact léger)
Service Web en arrière boutique (intégration élevée, impact
important)
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 24
25. Comment maitriser le risque
Alignement sur les bonnes pratiques
ISO27001/2 - Code de pratique et
processus d’un SMSI
ISO27005 - Gestion du risque
ITIL v3 - Gestion des TI
ITIL : Information Technology Infrastructure Library pour « Bibliothèque pour l'infrastructure
des technologies de l'information »)
SMSI : Système de Management de la Sécurité de l’Information selon ISO27002
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 25
26. SMSI et les tiers
Le fournisseur doit être considéré comme un tiers.
Son SMSI doit communiquer avec votre SMSI.
Clauses ISO27002 spécifiques aux tiers
6.2. Tiers
Identification des risques provenant des tiers
La sécurité et les clients
La sécurité dans les accords conclus avec des tiers
10.2. Gestion de la prestation de services par un tiers
Prestation de services
Surveillance et réexamen des services tiers
Gestion des modifications dans les services tiers
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 26
27. Vue* processus du SMSI
Gestion des
identités et des
Gestion des risques habilitations
Gestion des accès
SMSI
Gestion des
configurations
Gestion des mises
Gestion des en production
vulnérabilités
Détection des
intrusions Audit
Gestion des
incidents
Gestion des tiers
* partielle, sécurité et ITIL
La sécurité et le Cloud Computing -
27
Clément Gagnon - Tactika inc.
28. Lien entre les SMSI
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 28
29. Pense-bête pour contrôler
les risques du Cloud
Appliquer les bonnes pratiques selon votre contexte !!!
Mettre à jour votre cadre de sécurité pour inclure le Cloud
Déterminer vos besoins
Déterminer un niveau de service
Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des
données ► Destruction des données
Catégoriser vos données, évaluer la criticité du service
Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !
Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI
Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la
localisation du désastre …
Avez-vous une copie de vos données qui sont chez le fournisseur ?
Surveiller et journaliser ► Audit
Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve,
enquête
Documenter l’architecture(s) ► Documenter … documenter … documenter
La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 29
30. Questions ?
Merci de votre attention !
clement.gagnon@tactika.com
www.tactika.com
@tactika
La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. 30