L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
Conférence sur la sécurité Cloud Computing
1. DÉFIS DE SÉCURITÉ DANS LE
CLOUD COMPUTING
1
Prof. Anas ABOU EL KALAM
Certifié ISO 27001, CEH, CISSP (en cours)
Expert évaluateur auprès de l'ANR France
Auteur de 6 Chap de Livres, 16 revues internationales, 70 articles de Confs int.
2. Plan
- Qu’est ce que le Cloud Computing ?
- Un peu d'histoire ...
- Types & Modèles de déploiement de CC
- Problèmes de sécurité
- Solutions & recommandations
- Conclusion
Les défis de Sécurité dans le Cloud Computing
3. 3
Qu’est ce que
le Cloud
Computing
Les défis de Sécurité dans le Cloud Computing
4. Le Cloud Computing ?
- Accéder à des ressources informatiques qui sont quelque
part ..., à travers internet.
– Au lieu de passer par un ordi local pour accéder à ces
ressources, on passe par les nuages virtuels de
l’informatique dématérialisée
Les défis de Sécurité dans le Cloud Computing
5. CARACTERISTIQUES DU CLOUD COMPUTING
1) Service à la demande
2) Accès réseau, clients variés
3) Mise en commun des ressources
4) Élasticité
5) Service mesuré & facturation à l’usage
Les défis de Sécurité dans le Cloud Computing
6. Histoire
- 1999 : Salesforce.com fut le premier hébergeur de Cloud,
- 2002 : Amazon propose hébergement d'application, de stockage.
- 2005 : Amazon a développé ses services (Amazon Web Services)
- 2006 : Amazon a développé (Elastic Compute Cloud ou EC2).
- 2007 : Google, IBM et universités ont lancé un projet de recherche
sur le Cloud qui permet de gagner en popularité et en consistance.
- 2009 : explosion du Cloud avec l'arrivée sur le marché de
Google (Google App Engine),
Microsoft (Microsoft Azure),
IBM (IBM Smart Business Service),
Sun (Sun Cloud)
Canonical Ltd (Ubuntu Enterprise Cloud).
Les défis de Sécurité dans le Cloud Computing
7. Types de Clouds
SaaS (Software as a Service)
Applications d’entreprise
PaaS (Platform as a Service)
Environnements de développement et de test
IaaS (Infrastructure as a Service)
Ressources virtualisées, stockage, BD
Les défis de Sécurité dans le Cloud Computing
9. DÉPLOIEMENT
Public
Externe à l’organisation,
Accessible via Internet,
Géré par prestataire externe.
Privé
Hébergé en interne,
Accessible via des réseaux sécurisés,
Mutualisé entre les différentes entités d’une seule et même entreprise.
Communautaire
Profiter des avantages de coûts d'un nuage partagé non publique
Eviter les problèmes de sécurité et réglementaires
e.g., Amadeus Les défis de Sécurité dans le Cloud Computing
10. ? autour du Cloud Computing
1) Infrastructure du Cloud
- Préoccupations liées à la virtualisation, le stockage et les vulnérabilités du
réseau
2) Données
- Intégrité, conservation, disponibilité, confidentialité des données
3) Accès
- Contrôle d'authentification, d'autorisation et d'accès, Gestion de l’identité
de l’utilisateur
4) Conformité
- Problématiques de la réglementation: l'audit de sécurité, localisation des
données, la non répudiation et la traçabilité
Les défis de Sécurité dans le Cloud Computing
11. DÉFIS SÉCURITÉ
La donnée est dans le nuage, elle est quelque part ..., mais il n’y a
rien de plus flou qu’un nuage.
supports physiques des données quittent votre proximité
on n’est plus maître du bon cycle de vie de nos données !
Légalement on ne détient probablement plus droits sur données
Affaire Megaupload : suite à décision politique, le site est fermé !
Pbme ==> il faut aller en Californie pour porter plainte » ….
12. DÉFIS SÉCURITÉ
Les défis de Sécurité dans le Cloud Computing
Où sont stockées mes données ?
Qui va réellement pouvoir accéder aux données ?
Comment garantir la disponibilité ?
Les serveurs dans le cloud sont-ils sécurisés, chiffrés, … ?
Affaire Dropbox
Quel est le degré de confiance à mettre dans fournisseur du Cloud ?
Y-a-t-il des plans de continuité d’activité (PCA/PRA) ?
En cas de fuite de données, les utilisateurs sont-ils avertis » ?
Qui gère les notifications de perte de données personnelle ?
Le droit à l'oubli est-il assuré ?
Gérer les réquisitions éventuelles ?
...
13. SÉCURITÉ DU CC
13ENSA DE MARRAKECH - UNIVERSITE CADI AYYAD
Les défis de Sécurité dans le Cloud Computing
14. Bonnes pratiques : typologie des données
Pour protéger les données/fonctions de façon adéquate, il est fondamentale
qu'elles soient inventoriées et qualifiées
Typiquement, ces données peuvent être réparties selon trois catégories
– Données sensibles à caractère personnel (cf. CNIL)
– Données stratégiques pour l'entreprise
• Peuvent l'être pour une certaine durée (e.g., appel d'offre ...)
– Les autres données utilisées par les applis métiers
Les défis de Sécurité dans le Cloud Computing
15. BP : gouvernance
Avant de se lancer dans un projet cloud, E/se doit être sensibilisées à la
protection et avoir mis en place un programme d'entreprise à ce sujet.
DSI = acteur incontournable de cette gouvernance, mais il n'est
pas le seul ...
Les défis de Sécurité dans le Cloud Computing
16. BP : gouvernance
Comme tout dispositif de maîtrise des risques, la protection requiert :
Des objectifs clairs
Support du management
Implication parties prenantes
• Resp. propriétaires des traitements et données, DSI, Audit interne
Plan d'action détaillé, spécifiant ressources et budget … suivi ...
Remarque
ne pas faire de choix ponctuel,
cohérence entre SI interne et ce qui sera hébergé dans le cloud
(points de reprises, gestion changements, gestion incidents, ...)
17. BP : questions à se poser avant ...
- Opportunités du cloud / à une solution traditionnelle ?
Quels traitements et données susceptibles de migrer vers le cloud ?
Contraintes réglementaires, cohérence, ...
Quels sont les risques à maîtriser ?
Perte de maîtrise de la techno MEV par fournisseur
Intégration services internes et ceux sur le cloud
Dépendance du fournisseur et difficulté de réversion
Perte de CIAT
Perte localisation données et intervenants
18. BP : questions à se poser avant ...
- Quel cloud pour quel traitement ?
19. BP : questions à se poser avant ...
- Bien choisir le prestataire
Doit apporter des garanties suffisantes ...
Quel implication sur la politique de sécurité interne
Le cloud met en évidence, voire amplifie les failles de sécurité
prééxistantes en local …
Aspects contractuels
SLA,
Clause d'audit,
clause de réversibilité, ...
...
20. BP : questions à se poser avant ...
- Cloud & notion d'architecture Multi Tenant
IDS / IPS dans un environnement cloud
Firewalls & cloud
Loi qui s'applique ?
Responsabilités dans le Cloud (IAAS, PAAS, SAAS, ...)
21. Conclusion
Le Cloud présente certes de nombreux avantages d'agilité, souplesse,
coûts, ... ;
– mais l'offre actuelle n'est pas sans risque …
Il est important de s'y engager avec ses parties prenantes :
– métiers, DSI, audit interne, juridique, Risk management, …
Se poser les bonnes questions pour faire les bons choix
Quel cloud pour quel usage ...
Mettre en place un environnement adapté pour la protection des
données dans le respect des contrats avec le fournisseur
Gouvernance, aspects contractuels, ….
Les défis de Sécurité dans le Cloud Computing
22. 22ENSA DE MARRAKECH - UNIVERSITE CADI AYYAD
Les défis de Sécurité dans le Cloud Computing