SlideShare una empresa de Scribd logo
1 de 8
Descargar para leer sin conexión
L
es services de Cloud Computing s’industrialisent,
les fournisseurs sont techniquement prêts à répondre à la
demande. De leur côté, les entreprises se montrent de plus
en plus intéressées mais restent très prudentes avant de
se lancer. En effet, elles mettent toujours en avant les freins liés à
la sécurité des données et à la transférabilité de leurs données vers
une autre plateforme (ou en interne dans leur système d’information)
en cas de changement de fournisseur. Les sondages réalisés sur le
Cloud Computing auprès des entreprises par les plus grands cabinets
spécialisés (par exemple l’étude « Delivering on Cloud Expectations »
menée par  Forrester Research ou les conférences du dernier Gartner
Symposium/ITxpo 2013 à Barcelone) sont d’ailleurs unanimes en
relevant cette inquiétude au premier plan. Toutefois, aujourd’hui,
un certain nombre d’idées reçues, surtout d’ordre psychologiques,
circulent peut-être à tort autour de la sécurité du Cloud Computing.
D’autant que les efforts réalisés par les fournisseurs sont réels pour
garantir l’intégrité et la protection des données. Ce livre blanc vous
aidera donc à prendre connaissance et à prendre en compte les
points clés de la sécurisation de l’infrastructure, des données et des
applications lors de la signature avec un fournisseur de services Cloud.
Cloud COmputing :
la sécurisation
des données
Partie 1  P.02
Gare aux idées
reçues ! 		
Partie 2  P.03
L’importance de
la localisation
des données 	
Partie 3 P.04
Des outils et
des services
pour garantir
l’intégrité
des données,
pourquoi faire
confiance à ces
technologies ?	
Partie 4  P.08
La réversibilité
des données 
Sommaire
2
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
1// Gare aux idées reçues !
FAUX. La perte de données est-elle réellement plus
fréquente dans le cadre du Cloud Computing ? Non à cette
idée reçue, le Cloud public peut même apporter plus de
sécurité. En effet, les entreprises bénéficient, très souvent
même, de meilleurs dispositifs et de services de sécurité
(matériel plus performant, réplication des données, plan
de reprise d’activité, etc) plus importants que ceux dont
elles disposaient auparavant. Si l’entreprise combine des règles d’accès avec une gestion accrue
des identités et des autorisations associées aux individus, elle bénéficie d’une protection plus
granulaire, plus précise, plus transparente et plus facile à gérer. De plus, ces dispositifs et ces
technologies sont mis à jour régulièrement.
FAUX. Là encore, il est erroné de dire qu’en adoptant
des services de Cloud Computing où les ressources,
il est vrai, sont souvent partagées et mutualisées,
l’entreprise n’a plus la maîtrise de ses données et de ses
applications. Les fournisseurs de services Cloud, surtout
français et européens, garantissent en général à 99,99
% la disponibilité et la fiabilité des données et l’accès aux
applications. Ils mentionnent aussi contractuellement la localisation de toutes les informations
et même pour certains clients, un service de cloisonnement des données est proposé.
Les entreprises doivent être très attentives sur les niveaux de garanties proposés dans le contrat
(dont la propriété exclusive de toutes les données stockées et donc sur les pénalités fixées).
FAUX. Le contrat établi entre l’entreprise cliente et
le fournisseur stipule que ce dernier s’engage sur
la réversibilité et la transférabilité des données. En
effet, contrairement à cette idée reçue, le client est
libre de partir avec ses données. Les fournisseurs de
services Cloud s’engagent sur ce point en mettant à
la disposition de leurs clients leurs données dans
un temps limité en cas de rupture de contrat. Les données ainsi récupérées par le client sont
disponibles sous des formats standards et peuvent être facilement ré-exploitables dans leur
système d’information ou chez un autre fournisseur.
« Je risque de perdre
mes données plus
facilement dans
un Cloud. »
« Je ne suis plus
maître de mes
applications et
de mes données. »
« Je ne pourrais pas
forcément récupérer
mes données en cas
de rupture de contrat. »
3
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
2// L’importance
de la localisation
des données
C
onnaître le lieu de stockage des données pour
une entreprise utilisatrice de services Cloud est
fortement recommandé. De ce fait, le choix du
prestataire est primordial. Il est donc conseillé
pour une entreprise de s’orienter vers un acteur reconnu
et bien implanté, car l’entreprise qui confie ses données
et ses applications à un opérateur tiers doit être certaine que
ce service sera hébergé et opéré en France ou en Europe
(leurs données informatiques sont hébergées dans les
datacenters du fournisseur) et qu’il dépendra, de ce fait,
des législations françaises et européennes
sur les données. En effet, le prestataire se doit
de respecter, d’un point de vue juridique, les
normes imposées par la France et l’Europe sur
la sécurité et le stockage des données. Selon le
droit français, et a fortiori européen, les données
confiées à un tiers restent ainsi la propriété du client
et la loi interdit au prestataire de les divulguer.
Le Patriot Act américain, un risque
non négligeable pour les entreprises
Cette localisation des données pour les entreprises est d’autant plus importante qu’elle fait suite
à l’actualité brulante et récente de l’affaire Prism sur les écoutes et la cybersurveillance opérées
par la NSA (Agence de la sécurité nationale des Etats-Unis) sur toute l’Europe. En effet, le
gouvernement américain a eu, entre autres, accès à des données sur les serveurs installés dans
des datacenters de grandes entreprises américaines. Il faut savoir que suite aux attentats du 11
septembre 2001 à New York, les Etats-Unis ont mis en place une loi « anti-terroriste » baptisée le
Patriot Act, qui permet à l’administration américaine de consulter et d’accéder à tout moment aux
données des hébergeurs et des opérateurs de services Cloud. Ainsi, dès lors que les contenus
d’un datacenter sont situés sur le sol américain ou opérés par une entreprise américaine, c’est la
législation des Etats-Unis (dont le Patriot Act) qui s’applique. On le voit bien, le choix du Cloud est
certes la bonne solution mais les données dépendent aussi de la garantie offerte par le fournisseur
et du lieu où elles se trouvent. Résultat, de nombreuses entreprises s’orientent, de plus en plus,
vers des datacenters nationaux et locaux de proximité.
4
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
3// Des outils et des services pour
garantir l’intégrité des données,
pourquoi faire confiance
à ces technologies ?
S
i les entreprises sont de plus en plus nombreuses
à se tourner vers des prestataires de services
Cloud, c’est aussi qu’elles ne maîtrisent
plus forcément la sécurité de leur propre
système d’information. En effet, les entreprises
font face maintenant à la multiplication des
nouveaux services et usages, ce qu’on appelle
aujourd’hui, la consumérisation de l’IT. Toutes les
entreprises sont effectivement confrontées à des salariés qui
utilisent régulièrement leurs propres équipements informatiques
et leurs propres applications (smartphones, PC portables, réseaux
sociaux, collaboratifs, bureautiques, etc) à des fins professionnelles. Résultat :
la consumérisation IT augmente la menace interne, et les entreprises doivent faire face à de
nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur. En se tournant
vers des prestataires de service Cloud, ces mêmes entreprises espèrent réduire toutes ces
menaces mais restent en parallèle très méfiantes sur les outils de sécurité mis en place par leur
prestataire pour garantir l’intégrité et la protection de leurs données. Cette méfiance est clairement
due à un manque de confiance envers les fournisseurs sur le déploiement de ce type d’outils. Il
faut bien dire que tous ces outils montrent une réelle efficacité si une gouvernance autour de la
sécurité est menée pour avoir une vue globale du datacenter. D’autre part, l’efficacité est aussi
valable si ces dits outils sont parfaitement paramétrés. Voici donc les approches que devraient
mettre en place les fournisseurs de services Cloud pour garantir la sécurisation physique de
l’infrastructure et logique des données et des applications :
Classification des datacenters
Les fournisseurs de services Cloud disposent soit de leur propre datacenter ou signent des
accords avec des partenaires hébergeurs ou opérateurs de datacenters. Il faut savoir que
les datacenters sont classés par un organisme (Uptime Institute) suivant la disponibilité et la
sécurisation des données. Cette classification permet donc aux entreprises clientes de mesurer le
niveau de sécurité mis en place par le fournisseur.
Datacenter certifié Tier I. Ce faible niveau de sécurisation et de fiabilité indique que ce
datacenter ne dispose pas d’infrastructure et de climatisation redondante. De plus, une seule
alimentation électrique subsiste.
5
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
Datacenter certifié Tier II
Dans ce niveau, le datacenter dispose de certains éléments et de composants redondants
mais bénéficie toujours d’un seul circuit électrique pour l’énergie et pour la distribution de
refroidissement.
Datacenter Tier III
Ce niveau signifie que tous les éléments de l’infrastructure sont redondants et en double
alimentation. Toutefois, une seule alimentation électrique fonctionne en mode actif.
Datacenter Tier IV
Dans ce cas de figure, le datacenter offre un taux de disponibilité de 99,995 %,
les infrastructures sont redondantes, les alimentations électriques et les climatisations sont
doublées et fonctionnent en actif/actif.
Pour plus de sécurité, certaines entreprises portent même leur choix sur un fournisseur
dont le datacenter est certifié ISO 27001, une norme internationale de système de gestion
de la sécurité de l’information. Cette norme décrit les exigences de sécurité afin d’assurer
la protection des biens sensibles d’une entreprise sur un périmètre défini.
Virtualisation
Certes, la virtualisation permet de réduire les coûts en masquant la nature physique des
ressources aux systèmes qui les consomment. Elle améliore aussi la disponibilité des systèmes et
l’évolution vers une infrastructure dynamique qui alloue en temps réel les ressources matérielles
nécessaires à l’exécution des applications. Toutefois, la virtualisation comporte aussi des risques
comme la simple erreur humaine, la malveillance ou encore le manque d’étanchéité entre les
machines virtuelles. Ainsi, l’entreprise qui choisit un prestataire de service Cloud doit s’assurer que
ce dernier respecte certaines règles dont l’analyse des risques pour chaque application et chaque
service concerné, et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut
aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Il doit par ailleurs
mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum
ces risques. Des outils permettant une automatisation et une orchestration des environnements
physiques et virtuels sont devenus indispensables pour limiter les risques.
Cloisonnement des clients et séparation des espaces clients
A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données,
certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement
privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs,
les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements
personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone
protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi
de possibilité d’extension de la surface d’hébergement à mesure que les besoins de celles-
ci augmentent ou évoluent. D’autre part, dans certains datacenters, des mesures assurant la
séparation des espaces clients telles que l’anti-spoofing de l’adresse IP, la segmentation et
6
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
l’isolation des domaines de broadcast, l’anti-flooding des adresses MAC, garantissent aussi
l’imperméabilité de votre environnement IT vis-à-vis de celui des autres clients.
Détection des attaques en temps réel
Bien sûr, à l’instar du système d’information d’une entreprise, les infrastructures dans les
datacenters sont potentiellement soumises aux menaces externes (virus, malware, intrusion, déni
de service par saturation, etc). Il faut dire qu’avec le développement des offres Cloud, les centres
de calcul deviennent des pièces maîtresses et suscitent l’intérêt des cybercriminels. Pour faire face
à ces attaques, une multitude d’outils sont déployés pour garantir la sécurisation des données,
qui vont des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions
d’automatisation et de surveillance du réseau.
Chiffrement
L’un des aspects de la protection des données est bien sûr la confidentialité des données et
surtout la protection de la vie privée. Pour renforcer ces deux critères, les entreprises se tournent
naturellement vers des prestataires capables de proposer des solutions de chiffrement de
données. Mais, le chiffrement seul ne suffit plus. En effet, une communication chiffrée ne permet
pas, par exemple, de masquer l’identité des parties qui communiquent. L’idée est donc d’enrichir
l’architecture de sécurité par l’ajout de redondances intelligentes en utilisant des codes correcteurs
linéaires (code de Reed-Muller). Pour résumer, dans un contexte Cloud, il faut repenser la gestion
de l’identité en utilisant des outils de cryptographie basés sur l’identité.
Très médiatisés depuis deux ans, des groupes
organisés mènent des attaques de grande
ampleur sur le système d’information des
entreprises dont l’objectif final est bien souvent
financier : vendre des informations stratégiques
ou des secrets professionnels à des tiers. La
particularité de ces groupes est qu’ils attaquent
de manière ciblée une entreprise ou une
organisation le plus discrètement possible
contrairement aux menaces classiques (virus,
dénis de service, phishing...) dont la cible est
très large. Ces attaques ont été baptisées
par les spécialistes « menaces persistantes
avancées » ou APT («Advanced Persistent
Threat «) en anglais. Persistantes, car le pirate
va essayer de manière répétée d›atteindre
son objectif, et avancées car il exploite des
vulnérabilités et des technologies sophistiquées.
Pour contrer ce type de menaces, les
fournisseurs de services Cloud n’hésitent
plus à adopter des outils et des compétences
pointues (le plus souvent une plateforme de
surveillance de la sécurité supervisée par une
équipe d’experts) qui agissent comme une
cellule de veille. Cette plateforme permet donc
de centraliser des informations provenant d’une
multitude d’équipements, qui contribuent à
une base de réputation et à la mise à jour des
règles de sécurité. Cette plateforme devient
donc l’élément proactif (à travers une action de
centralisation des alertes) capable de réagir et
d’arrêter des attaques en cours de réalisation
(détection et arrête des attaques signaux forts,
détection et arrêt des attaques signaux faibles et
détection et arrêt des comportements anormaux
et des atypies).
Cyber-défense : se prémunir des menaces
persistantes avancées
7
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
Les services d’exploitation
Pour les entreprises utilisatrices, la sécurité des données doit aussi tenir compte d’un certain
nombre de services d’exploitations (PRA, duplication, administration, extension de ressources,
etc.) que proposent les fournisseurs de services Cloud. Voici les principaux :
Plan de reprise d’activité
Parmi les multiples services d’exploitation, le PRA (Plan de reprise d’activité) offre une
véritable garantie supplémentaire en termes de sécurité. En effet, pouvoir relancer
rapidement le fonctionnement du système en cas de sinistre majeur sur l’infrastructure
principale est essentiel pour une entreprise. Pour garantir ce PRA, les fournisseurs de
services Cloud disposent de plusieurs datacenters interconnectés qui leur permettent de
basculer rapidement l’infrastructure de leur client depuis un site distant en cas de crash.
Déduplication des données
La déduplication reste essentiellement exploitée lors des opérations de sauvegarde.
C’est une fonction majeure dans la sécurisation des données car elle permet de sauvegarder
les données de manière optimale, c’est-à-dire d’éliminer les doublons dans un système
de fichiers. Et plus l’analyse est granulaire, plus les chances de détecter et d’éliminer les
informations en double sont élevées. Point important : en cas de rupture de contrat avec
le prestataire, les clients devront aussi se poser la question de l’effacement des données
stockées sur les serveurs Cloud.
Administration des ressources
Pour l’entreprise cliente, il est primordial de garder le contrôle et donc la maîtrise du cycle de
vie de ses applications et de ses données. Il ne faut pas oublier que ce sont les applications
qui pilotent, via des outils d’orchestration et d’automatisation, les ressources comme les
systèmes virtuels, le stockage et la mémoire, pas l’inverse. Ainsi, un certain nombre de
fournisseurs de services Cloud mettent à la disposition de leurs clients des outils permettant
de superviser les ressources en temps réel, de paramétrer les alertes, de suivre leur
consommation de bande passante, de visualiser l’activité des machines virtuelles et des
capacités de stockage et de faciliter la supervision du trafic.
Agilité dans la mutualisation des ressources
Dans l’utilisation d’un Cloud, l’entreprise doit pouvoir bénéficier, en cas de montée en
charge, de ressources technologiques supplémentaires puis de les libérer une fois
la charge ramenée à la normale. En accordant des ressources de cette manière, les
fournisseurs diminuent d’environ 50 % la durée et la planification des processus et des
tâches. Aujourd’hui, cette agilité doit se faire par un portail libre-service. Le client peut ainsi
configurer, gérer et ajuster automatiquement ses propres ressources en fonction de ses
besoins.
8
CLOUD COMPUTING LA SÉCURISATION DES DONNÉES
P
our l’entreprise, cela va de soi qu’elle doit pouvoir
récupérer ses données et ses applications en
toute simplicité en cas de rupture de contrat
avec son fournisseur. Quant aux formats
de données récupérées, ils doivent être lisibles et
exploitables chez un autre fournisseur ou directement
en interne dans le système d’information de l’entreprise.
Pour cela, deux points importants sont listés lors de l’établissement du contrat ; d’une part,
la prévision de la clause de réversibilité et d’autre part, cette clause doit être, de préférence,
accompagnée d’un plan de réversibilité détaillé dans l’une des annexes du contrat. Ces contrats
Cloud sont importants pour les futurs clients. Ils permettent surtout d’étudier le degré de maturité
de l’offre, des problématiques analysées par les prestataires et des réponses apportées. Car, dans
les faits, les garanties de la réversibilité ne sont pas toujours très claires.
La question de l’interopérabilité des solutions techniques…
A leur décharge, les fournisseurs de services Cloud relèvent, à juste titre, le manque
d’interopérabilité des solutions techniques. Par exemple, bouger des machines virtuelles en
exploitation d’un hyperviseur à un autre reste une tâche compliquée voire impossible dans certains
cas, même si des outils agnostiques permettent d’échanger entre les principaux hyperviseurs
du marché. Toutefois, au niveau de l’IaaS (Infrastructure as a service), les fournisseurs adoptent
de plus en plus de solutions basées sur des standards ouverts comme OpenStack, par exemple,
qui se veut une alternative aux IaaS propriétaires. La technologie OpenStack, en s’adaptant aux
standards, donne aux entreprises clientes les moyens de déplacer des charges de travail d’un
prestataire de services Cloud à un autre sans être verrouillées.
…surtout au niveau du Saas et du Paas
Ce manque d’interopérabilité est surtout visible pour les environnements Saas (Software as a
service) et Paas (Platform as a service). En effet, les services Paas sont basés essentiellement
sur des frameworks spécifiques propres à chaque fournisseur. Quant aux Saas, les formats de
fichiers sont le plus souvent prioritaires. De plus, de nombreuses applications Saas ne disposent
pas d’API, c’est d’ailleurs souvent des applications spécifiques que l’on retrouve dans les petites
et moyennes entreprises qui répondent, il est vrai, à leurs besoins. Dans ce cas, on est bloqué. On
le voit, ce manque de standardisation pénalise indirectement la transférabilité des données d’une
plateforme à une autre. Et donc, les surcoûts engendrés par cette ré-exploitation des données en
interne ou sur une autre plateforme peuvent être conséquents. Les choses avancent néanmoins
au niveau des interfaces pour la gestion des identités. En effet, l’industrie s’oriente, de plus en plus,
vers l’adoption de protocoles d’identification et d’authentification (SAML v2, OpenID/oAuth).
4// La réversibilité
des données

Más contenido relacionado

La actualidad más candente

Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ahanthonyhemond
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Parlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use casesParlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use casesPierre-Luc Bisaillon
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Restauration de donnée de haute performance
Restauration de donnée de haute performanceRestauration de donnée de haute performance
Restauration de donnée de haute performancenesrine attia
 
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...Activo Consulting
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015COMPETITIC
 

La actualidad más candente (20)

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risques
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah111012 Cloud Computing Lr Wilson Ah
111012 Cloud Computing Lr Wilson Ah
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Parlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use casesParlons-en du Cloud Event - Cloud definition and use cases
Parlons-en du Cloud Event - Cloud definition and use cases
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Restauration de donnée de haute performance
Restauration de donnée de haute performanceRestauration de donnée de haute performance
Restauration de donnée de haute performance
 
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...
Comment choisir la bonne solution de DAM en 2020 au regard des nouveaux enjeu...
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaS
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015
 

Similar a Livre blanc la+securisation+des+donnees

Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueAntoine Vigneron
 
Samedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis RoySamedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis RoyMSDEVMTL
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Chap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdfChap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdfKhalo3
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfhasna920888
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Une sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peurUne sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peurBee_Ware
 
m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfFootballLovers9
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des donnéessmiste
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1AIR-LYNX
 
Competitic cloud - numerique en entreprise
Competitic  cloud - numerique en entrepriseCompetitic  cloud - numerique en entreprise
Competitic cloud - numerique en entrepriseCOMPETITIC
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesMicrosoft Ideas
 

Similar a Livre blanc la+securisation+des+donnees (20)

Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
 
Samedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis RoySamedi SQL Québec - Intro par Louis Roy
Samedi SQL Québec - Intro par Louis Roy
 
Le cloud
Le cloudLe cloud
Le cloud
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Formation fibrenoire
Formation fibrenoireFormation fibrenoire
Formation fibrenoire
 
Chap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdfChap1-Centre-de-donnees - -Une-introduction (1).pdf
Chap1-Centre-de-donnees - -Une-introduction (1).pdf
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Une sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peurUne sécurité basée sur la confiance et non pas sur la peur
Une sécurité basée sur la confiance et non pas sur la peur
 
m213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdfm213-resume-theorique-v1-2209_2.pdf
m213-resume-theorique-v1-2209_2.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
 
Competitic cloud - numerique en entreprise
Competitic  cloud - numerique en entrepriseCompetitic  cloud - numerique en entreprise
Competitic cloud - numerique en entreprise
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
Ebauche livre-blanc
Ebauche livre-blancEbauche livre-blanc
Ebauche livre-blanc
 

Más de Marc Bourhis

Enjeux de la Réalité Virtuelle 15 avril 2017
Enjeux de la Réalité Virtuelle 15 avril 2017Enjeux de la Réalité Virtuelle 15 avril 2017
Enjeux de la Réalité Virtuelle 15 avril 2017Marc Bourhis
 
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016Marc Bourhis
 
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média global
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média globalSotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média global
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média globalMarc Bourhis
 
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis Diginov
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis DiginovScreen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis Diginov
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis DiginovMarc Bourhis
 
Management de l'information et veille stratégique - IPAG - Manelle Guechtouli
Management de l'information et veille stratégique - IPAG - Manelle GuechtouliManagement de l'information et veille stratégique - IPAG - Manelle Guechtouli
Management de l'information et veille stratégique - IPAG - Manelle GuechtouliMarc Bourhis
 
Reallocation bande 700_mhz_livre_blanc
Reallocation bande 700_mhz_livre_blancReallocation bande 700_mhz_livre_blanc
Reallocation bande 700_mhz_livre_blancMarc Bourhis
 
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinéma
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinémaDossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinéma
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinémaMarc Bourhis
 
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...Marc Bourhis
 
Riam bilan 2011 2013 - projets retenus
Riam   bilan 2011 2013 - projets retenusRiam   bilan 2011 2013 - projets retenus
Riam bilan 2011 2013 - projets retenusMarc Bourhis
 
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...Marc Bourhis
 
Vue synthétique du workflow Cinema par Franck Montagné
Vue synthétique du workflow Cinema par Franck MontagnéVue synthétique du workflow Cinema par Franck Montagné
Vue synthétique du workflow Cinema par Franck MontagnéMarc Bourhis
 
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...Marc Bourhis
 
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...Marc Bourhis
 
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...Marc Bourhis
 
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014Marc Bourhis
 
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...Marc Bourhis
 
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...Marc Bourhis
 

Más de Marc Bourhis (20)

Enjeux de la Réalité Virtuelle 15 avril 2017
Enjeux de la Réalité Virtuelle 15 avril 2017Enjeux de la Réalité Virtuelle 15 avril 2017
Enjeux de la Réalité Virtuelle 15 avril 2017
 
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016
Formation à la Réalité Virtuelle - La Plateforme 1er décembre 2016
 
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média global
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média globalSotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média global
Sotrycode Grand Ouest 1er juillet - La Réalité Virtuelle, un média global
 
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis Diginov
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis DiginovScreen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis Diginov
Screen4AllForum UltraHDay - Analyse du marché de l’UHD - Marc Bourhis Diginov
 
Management de l'information et veille stratégique - IPAG - Manelle Guechtouli
Management de l'information et veille stratégique - IPAG - Manelle GuechtouliManagement de l'information et veille stratégique - IPAG - Manelle Guechtouli
Management de l'information et veille stratégique - IPAG - Manelle Guechtouli
 
Reallocation bande 700_mhz_livre_blanc
Reallocation bande 700_mhz_livre_blancReallocation bande 700_mhz_livre_blanc
Reallocation bande 700_mhz_livre_blanc
 
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinéma
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinémaDossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinéma
Dossier de l'écran n°1 Ultra HD et 4k à la télévision et au cinéma
 
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...
Présentation 4 mars au cnc CST-rt30 -sécurisation des données numériques tour...
 
Riam bilan 2011 2013 - projets retenus
Riam   bilan 2011 2013 - projets retenusRiam   bilan 2011 2013 - projets retenus
Riam bilan 2011 2013 - projets retenus
 
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...
Présentation Ficam de la filière production 4K/UHD devant le HD Forum le 18 d...
 
Spivet workflow33
Spivet workflow33Spivet workflow33
Spivet workflow33
 
Spivet workflow23
Spivet workflow23Spivet workflow23
Spivet workflow23
 
Spivet workflow13
Spivet workflow13Spivet workflow13
Spivet workflow13
 
Vue synthétique du workflow Cinema par Franck Montagné
Vue synthétique du workflow Cinema par Franck MontagnéVue synthétique du workflow Cinema par Franck Montagné
Vue synthétique du workflow Cinema par Franck Montagné
 
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...
Présentation Muriel Lebellac Videomenthe sur son offre Cloud Computing lors d...
 
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...
Présentation Cloud Computing Philippe Recouppé Président du Forum Atena lors ...
 
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...
Présentation colorimétrie & préservation François Helt (hts) Atelier focus In...
 
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014
Présentation du SOA et BPM par Rs2i_AtelierFocusInnovation_06022014
 
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...
Présentation des différents standards de fichiers Mezzanine_AtelierFocusInnov...
 
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...
Introduction Atelier Focus Innovation du 06 02 2014 consacré à la Dématériali...
 

Livre blanc la+securisation+des+donnees

  • 1. L es services de Cloud Computing s’industrialisent, les fournisseurs sont techniquement prêts à répondre à la demande. De leur côté, les entreprises se montrent de plus en plus intéressées mais restent très prudentes avant de se lancer. En effet, elles mettent toujours en avant les freins liés à la sécurité des données et à la transférabilité de leurs données vers une autre plateforme (ou en interne dans leur système d’information) en cas de changement de fournisseur. Les sondages réalisés sur le Cloud Computing auprès des entreprises par les plus grands cabinets spécialisés (par exemple l’étude « Delivering on Cloud Expectations » menée par  Forrester Research ou les conférences du dernier Gartner Symposium/ITxpo 2013 à Barcelone) sont d’ailleurs unanimes en relevant cette inquiétude au premier plan. Toutefois, aujourd’hui, un certain nombre d’idées reçues, surtout d’ordre psychologiques, circulent peut-être à tort autour de la sécurité du Cloud Computing. D’autant que les efforts réalisés par les fournisseurs sont réels pour garantir l’intégrité et la protection des données. Ce livre blanc vous aidera donc à prendre connaissance et à prendre en compte les points clés de la sécurisation de l’infrastructure, des données et des applications lors de la signature avec un fournisseur de services Cloud. Cloud COmputing : la sécurisation des données Partie 1  P.02 Gare aux idées reçues ! Partie 2  P.03 L’importance de la localisation des données Partie 3 P.04 Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? Partie 4  P.08 La réversibilité des données  Sommaire
  • 2. 2 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 1// Gare aux idées reçues ! FAUX. La perte de données est-elle réellement plus fréquente dans le cadre du Cloud Computing ? Non à cette idée reçue, le Cloud public peut même apporter plus de sécurité. En effet, les entreprises bénéficient, très souvent même, de meilleurs dispositifs et de services de sécurité (matériel plus performant, réplication des données, plan de reprise d’activité, etc) plus importants que ceux dont elles disposaient auparavant. Si l’entreprise combine des règles d’accès avec une gestion accrue des identités et des autorisations associées aux individus, elle bénéficie d’une protection plus granulaire, plus précise, plus transparente et plus facile à gérer. De plus, ces dispositifs et ces technologies sont mis à jour régulièrement. FAUX. Là encore, il est erroné de dire qu’en adoptant des services de Cloud Computing où les ressources, il est vrai, sont souvent partagées et mutualisées, l’entreprise n’a plus la maîtrise de ses données et de ses applications. Les fournisseurs de services Cloud, surtout français et européens, garantissent en général à 99,99 % la disponibilité et la fiabilité des données et l’accès aux applications. Ils mentionnent aussi contractuellement la localisation de toutes les informations et même pour certains clients, un service de cloisonnement des données est proposé. Les entreprises doivent être très attentives sur les niveaux de garanties proposés dans le contrat (dont la propriété exclusive de toutes les données stockées et donc sur les pénalités fixées). FAUX. Le contrat établi entre l’entreprise cliente et le fournisseur stipule que ce dernier s’engage sur la réversibilité et la transférabilité des données. En effet, contrairement à cette idée reçue, le client est libre de partir avec ses données. Les fournisseurs de services Cloud s’engagent sur ce point en mettant à la disposition de leurs clients leurs données dans un temps limité en cas de rupture de contrat. Les données ainsi récupérées par le client sont disponibles sous des formats standards et peuvent être facilement ré-exploitables dans leur système d’information ou chez un autre fournisseur. « Je risque de perdre mes données plus facilement dans un Cloud. » « Je ne suis plus maître de mes applications et de mes données. » « Je ne pourrais pas forcément récupérer mes données en cas de rupture de contrat. »
  • 3. 3 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 2// L’importance de la localisation des données C onnaître le lieu de stockage des données pour une entreprise utilisatrice de services Cloud est fortement recommandé. De ce fait, le choix du prestataire est primordial. Il est donc conseillé pour une entreprise de s’orienter vers un acteur reconnu et bien implanté, car l’entreprise qui confie ses données et ses applications à un opérateur tiers doit être certaine que ce service sera hébergé et opéré en France ou en Europe (leurs données informatiques sont hébergées dans les datacenters du fournisseur) et qu’il dépendra, de ce fait, des législations françaises et européennes sur les données. En effet, le prestataire se doit de respecter, d’un point de vue juridique, les normes imposées par la France et l’Europe sur la sécurité et le stockage des données. Selon le droit français, et a fortiori européen, les données confiées à un tiers restent ainsi la propriété du client et la loi interdit au prestataire de les divulguer. Le Patriot Act américain, un risque non négligeable pour les entreprises Cette localisation des données pour les entreprises est d’autant plus importante qu’elle fait suite à l’actualité brulante et récente de l’affaire Prism sur les écoutes et la cybersurveillance opérées par la NSA (Agence de la sécurité nationale des Etats-Unis) sur toute l’Europe. En effet, le gouvernement américain a eu, entre autres, accès à des données sur les serveurs installés dans des datacenters de grandes entreprises américaines. Il faut savoir que suite aux attentats du 11 septembre 2001 à New York, les Etats-Unis ont mis en place une loi « anti-terroriste » baptisée le Patriot Act, qui permet à l’administration américaine de consulter et d’accéder à tout moment aux données des hébergeurs et des opérateurs de services Cloud. Ainsi, dès lors que les contenus d’un datacenter sont situés sur le sol américain ou opérés par une entreprise américaine, c’est la législation des Etats-Unis (dont le Patriot Act) qui s’applique. On le voit bien, le choix du Cloud est certes la bonne solution mais les données dépendent aussi de la garantie offerte par le fournisseur et du lieu où elles se trouvent. Résultat, de nombreuses entreprises s’orientent, de plus en plus, vers des datacenters nationaux et locaux de proximité.
  • 4. 4 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 3// Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? S i les entreprises sont de plus en plus nombreuses à se tourner vers des prestataires de services Cloud, c’est aussi qu’elles ne maîtrisent plus forcément la sécurité de leur propre système d’information. En effet, les entreprises font face maintenant à la multiplication des nouveaux services et usages, ce qu’on appelle aujourd’hui, la consumérisation de l’IT. Toutes les entreprises sont effectivement confrontées à des salariés qui utilisent régulièrement leurs propres équipements informatiques et leurs propres applications (smartphones, PC portables, réseaux sociaux, collaboratifs, bureautiques, etc) à des fins professionnelles. Résultat : la consumérisation IT augmente la menace interne, et les entreprises doivent faire face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur. En se tournant vers des prestataires de service Cloud, ces mêmes entreprises espèrent réduire toutes ces menaces mais restent en parallèle très méfiantes sur les outils de sécurité mis en place par leur prestataire pour garantir l’intégrité et la protection de leurs données. Cette méfiance est clairement due à un manque de confiance envers les fournisseurs sur le déploiement de ce type d’outils. Il faut bien dire que tous ces outils montrent une réelle efficacité si une gouvernance autour de la sécurité est menée pour avoir une vue globale du datacenter. D’autre part, l’efficacité est aussi valable si ces dits outils sont parfaitement paramétrés. Voici donc les approches que devraient mettre en place les fournisseurs de services Cloud pour garantir la sécurisation physique de l’infrastructure et logique des données et des applications : Classification des datacenters Les fournisseurs de services Cloud disposent soit de leur propre datacenter ou signent des accords avec des partenaires hébergeurs ou opérateurs de datacenters. Il faut savoir que les datacenters sont classés par un organisme (Uptime Institute) suivant la disponibilité et la sécurisation des données. Cette classification permet donc aux entreprises clientes de mesurer le niveau de sécurité mis en place par le fournisseur. Datacenter certifié Tier I. Ce faible niveau de sécurisation et de fiabilité indique que ce datacenter ne dispose pas d’infrastructure et de climatisation redondante. De plus, une seule alimentation électrique subsiste.
  • 5. 5 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Datacenter certifié Tier II Dans ce niveau, le datacenter dispose de certains éléments et de composants redondants mais bénéficie toujours d’un seul circuit électrique pour l’énergie et pour la distribution de refroidissement. Datacenter Tier III Ce niveau signifie que tous les éléments de l’infrastructure sont redondants et en double alimentation. Toutefois, une seule alimentation électrique fonctionne en mode actif. Datacenter Tier IV Dans ce cas de figure, le datacenter offre un taux de disponibilité de 99,995 %, les infrastructures sont redondantes, les alimentations électriques et les climatisations sont doublées et fonctionnent en actif/actif. Pour plus de sécurité, certaines entreprises portent même leur choix sur un fournisseur dont le datacenter est certifié ISO 27001, une norme internationale de système de gestion de la sécurité de l’information. Cette norme décrit les exigences de sécurité afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini. Virtualisation Certes, la virtualisation permet de réduire les coûts en masquant la nature physique des ressources aux systèmes qui les consomment. Elle améliore aussi la disponibilité des systèmes et l’évolution vers une infrastructure dynamique qui alloue en temps réel les ressources matérielles nécessaires à l’exécution des applications. Toutefois, la virtualisation comporte aussi des risques comme la simple erreur humaine, la malveillance ou encore le manque d’étanchéité entre les machines virtuelles. Ainsi, l’entreprise qui choisit un prestataire de service Cloud doit s’assurer que ce dernier respecte certaines règles dont l’analyse des risques pour chaque application et chaque service concerné, et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Il doit par ailleurs mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum ces risques. Des outils permettant une automatisation et une orchestration des environnements physiques et virtuels sont devenus indispensables pour limiter les risques. Cloisonnement des clients et séparation des espaces clients A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données, certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs, les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi de possibilité d’extension de la surface d’hébergement à mesure que les besoins de celles- ci augmentent ou évoluent. D’autre part, dans certains datacenters, des mesures assurant la séparation des espaces clients telles que l’anti-spoofing de l’adresse IP, la segmentation et
  • 6. 6 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES l’isolation des domaines de broadcast, l’anti-flooding des adresses MAC, garantissent aussi l’imperméabilité de votre environnement IT vis-à-vis de celui des autres clients. Détection des attaques en temps réel Bien sûr, à l’instar du système d’information d’une entreprise, les infrastructures dans les datacenters sont potentiellement soumises aux menaces externes (virus, malware, intrusion, déni de service par saturation, etc). Il faut dire qu’avec le développement des offres Cloud, les centres de calcul deviennent des pièces maîtresses et suscitent l’intérêt des cybercriminels. Pour faire face à ces attaques, une multitude d’outils sont déployés pour garantir la sécurisation des données, qui vont des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau. Chiffrement L’un des aspects de la protection des données est bien sûr la confidentialité des données et surtout la protection de la vie privée. Pour renforcer ces deux critères, les entreprises se tournent naturellement vers des prestataires capables de proposer des solutions de chiffrement de données. Mais, le chiffrement seul ne suffit plus. En effet, une communication chiffrée ne permet pas, par exemple, de masquer l’identité des parties qui communiquent. L’idée est donc d’enrichir l’architecture de sécurité par l’ajout de redondances intelligentes en utilisant des codes correcteurs linéaires (code de Reed-Muller). Pour résumer, dans un contexte Cloud, il faut repenser la gestion de l’identité en utilisant des outils de cryptographie basés sur l’identité. Très médiatisés depuis deux ans, des groupes organisés mènent des attaques de grande ampleur sur le système d’information des entreprises dont l’objectif final est bien souvent financier : vendre des informations stratégiques ou des secrets professionnels à des tiers. La particularité de ces groupes est qu’ils attaquent de manière ciblée une entreprise ou une organisation le plus discrètement possible contrairement aux menaces classiques (virus, dénis de service, phishing...) dont la cible est très large. Ces attaques ont été baptisées par les spécialistes « menaces persistantes avancées » ou APT («Advanced Persistent Threat «) en anglais. Persistantes, car le pirate va essayer de manière répétée d›atteindre son objectif, et avancées car il exploite des vulnérabilités et des technologies sophistiquées. Pour contrer ce type de menaces, les fournisseurs de services Cloud n’hésitent plus à adopter des outils et des compétences pointues (le plus souvent une plateforme de surveillance de la sécurité supervisée par une équipe d’experts) qui agissent comme une cellule de veille. Cette plateforme permet donc de centraliser des informations provenant d’une multitude d’équipements, qui contribuent à une base de réputation et à la mise à jour des règles de sécurité. Cette plateforme devient donc l’élément proactif (à travers une action de centralisation des alertes) capable de réagir et d’arrêter des attaques en cours de réalisation (détection et arrête des attaques signaux forts, détection et arrêt des attaques signaux faibles et détection et arrêt des comportements anormaux et des atypies). Cyber-défense : se prémunir des menaces persistantes avancées
  • 7. 7 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Les services d’exploitation Pour les entreprises utilisatrices, la sécurité des données doit aussi tenir compte d’un certain nombre de services d’exploitations (PRA, duplication, administration, extension de ressources, etc.) que proposent les fournisseurs de services Cloud. Voici les principaux : Plan de reprise d’activité Parmi les multiples services d’exploitation, le PRA (Plan de reprise d’activité) offre une véritable garantie supplémentaire en termes de sécurité. En effet, pouvoir relancer rapidement le fonctionnement du système en cas de sinistre majeur sur l’infrastructure principale est essentiel pour une entreprise. Pour garantir ce PRA, les fournisseurs de services Cloud disposent de plusieurs datacenters interconnectés qui leur permettent de basculer rapidement l’infrastructure de leur client depuis un site distant en cas de crash. Déduplication des données La déduplication reste essentiellement exploitée lors des opérations de sauvegarde. C’est une fonction majeure dans la sécurisation des données car elle permet de sauvegarder les données de manière optimale, c’est-à-dire d’éliminer les doublons dans un système de fichiers. Et plus l’analyse est granulaire, plus les chances de détecter et d’éliminer les informations en double sont élevées. Point important : en cas de rupture de contrat avec le prestataire, les clients devront aussi se poser la question de l’effacement des données stockées sur les serveurs Cloud. Administration des ressources Pour l’entreprise cliente, il est primordial de garder le contrôle et donc la maîtrise du cycle de vie de ses applications et de ses données. Il ne faut pas oublier que ce sont les applications qui pilotent, via des outils d’orchestration et d’automatisation, les ressources comme les systèmes virtuels, le stockage et la mémoire, pas l’inverse. Ainsi, un certain nombre de fournisseurs de services Cloud mettent à la disposition de leurs clients des outils permettant de superviser les ressources en temps réel, de paramétrer les alertes, de suivre leur consommation de bande passante, de visualiser l’activité des machines virtuelles et des capacités de stockage et de faciliter la supervision du trafic. Agilité dans la mutualisation des ressources Dans l’utilisation d’un Cloud, l’entreprise doit pouvoir bénéficier, en cas de montée en charge, de ressources technologiques supplémentaires puis de les libérer une fois la charge ramenée à la normale. En accordant des ressources de cette manière, les fournisseurs diminuent d’environ 50 % la durée et la planification des processus et des tâches. Aujourd’hui, cette agilité doit se faire par un portail libre-service. Le client peut ainsi configurer, gérer et ajuster automatiquement ses propres ressources en fonction de ses besoins.
  • 8. 8 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES P our l’entreprise, cela va de soi qu’elle doit pouvoir récupérer ses données et ses applications en toute simplicité en cas de rupture de contrat avec son fournisseur. Quant aux formats de données récupérées, ils doivent être lisibles et exploitables chez un autre fournisseur ou directement en interne dans le système d’information de l’entreprise. Pour cela, deux points importants sont listés lors de l’établissement du contrat ; d’une part, la prévision de la clause de réversibilité et d’autre part, cette clause doit être, de préférence, accompagnée d’un plan de réversibilité détaillé dans l’une des annexes du contrat. Ces contrats Cloud sont importants pour les futurs clients. Ils permettent surtout d’étudier le degré de maturité de l’offre, des problématiques analysées par les prestataires et des réponses apportées. Car, dans les faits, les garanties de la réversibilité ne sont pas toujours très claires. La question de l’interopérabilité des solutions techniques… A leur décharge, les fournisseurs de services Cloud relèvent, à juste titre, le manque d’interopérabilité des solutions techniques. Par exemple, bouger des machines virtuelles en exploitation d’un hyperviseur à un autre reste une tâche compliquée voire impossible dans certains cas, même si des outils agnostiques permettent d’échanger entre les principaux hyperviseurs du marché. Toutefois, au niveau de l’IaaS (Infrastructure as a service), les fournisseurs adoptent de plus en plus de solutions basées sur des standards ouverts comme OpenStack, par exemple, qui se veut une alternative aux IaaS propriétaires. La technologie OpenStack, en s’adaptant aux standards, donne aux entreprises clientes les moyens de déplacer des charges de travail d’un prestataire de services Cloud à un autre sans être verrouillées. …surtout au niveau du Saas et du Paas Ce manque d’interopérabilité est surtout visible pour les environnements Saas (Software as a service) et Paas (Platform as a service). En effet, les services Paas sont basés essentiellement sur des frameworks spécifiques propres à chaque fournisseur. Quant aux Saas, les formats de fichiers sont le plus souvent prioritaires. De plus, de nombreuses applications Saas ne disposent pas d’API, c’est d’ailleurs souvent des applications spécifiques que l’on retrouve dans les petites et moyennes entreprises qui répondent, il est vrai, à leurs besoins. Dans ce cas, on est bloqué. On le voit, ce manque de standardisation pénalise indirectement la transférabilité des données d’une plateforme à une autre. Et donc, les surcoûts engendrés par cette ré-exploitation des données en interne ou sur une autre plateforme peuvent être conséquents. Les choses avancent néanmoins au niveau des interfaces pour la gestion des identités. En effet, l’industrie s’oriente, de plus en plus, vers l’adoption de protocoles d’identification et d’authentification (SAML v2, OpenID/oAuth). 4// La réversibilité des données