Auditer les infrastructures cloud : risques et défis
1. Auditer les infrastructures
cloud : risques et défis
Auditer les infrastructures cloud :
risques et défis
Sonia Kallel
Expert en Management de la Sécurité de l’Information
Business and Information Technology – Tunisia
2. 2
PROBLEMATIQUE
Les auditeurs collectent des informations sur les systèmes d'information, les
pratiques et les opérations d'une organisation et les analysent de manière critique en
vue d’améliorer.
Parmi les principaux objectifs d'un audit est de déterminer si le système
d'information et ses responsables répondent aux exigences légales et
règlementaires notamment aux attentes légales de protection des données des
clients et aux normes de réussite financière de l'entreprise face à diverses menaces.
Ces objectifs restent toujours pertinents dans le nouveau modèle IT en cloud mais
ils nécessitent une personnalisation car le Cloud perturbe la prévisibilité
associée aux architectures informatiques, aux contrôles de sécurité et aux
procédures d'audit traditionnelles et pose de nouveaux défis aux
professionnels de l'audit.
Dans cette présentation, nous essayons d'explorer les risques et défis potentiels
propres aux infrastructures du cloud et à leur audit, de présenter les approches
d'audit spécifiques au Cloud et de fournir une analyse critique.
3. 3
Quelques définitions ….
Le Cloud computing ou encore l’informatique dans les nuages, n’est pas « une
nouvelle technologie, mais c’est une nouvelle façon de délivrer les ressources
informatiques qui dérive du model d’outsourcing »
Le cloud computing est considéré comme un changement significatif de la plate-
forme dans laquelle les services métier sont traduits, utilisés et gérés. Beaucoup
considèrent qu'il s'agit d'un changement informatique aussi important que
l'avènement de l'ordinateur personnel (PC) ou de l'accès à Internet.
Plusieurs définitions ont été avancées pour décrire le cloud computing mais d’une
façon générale
« L’informatique dans les nuages est un modèle permettant d’établir un accès par
l’internet ou des réseaux privés à un réservoir partagé de ressources informatiques
standard configurables (réseau, serveurs, stockage, applications ) et de services
qui peuvent être rapidement mobilisées et mises à disposition en minimisant les
efforts de gestion ou les contacts avec le fournisseur de service et en permettant
l’attribution des services à la demande et le paiement en fonction de l’utilisation»
5. 5
Cinq caractéristiques essentielles du Cloud
Computing
Le Cloud consiste à mutualiser des serveurs entre plusieurs utilisateurs;
Il permet au client d’accéder à son espace dans le serveur de manière
dématérialisée (par un réseau de type Internet) sans préoccupation matérielle ou
logicielle;
L’accès aux serveurs se fait en libre service et à la demande, à des conditions
contractuelles déterminées à l’avance car le cloud est un service et doit être défini
en terme de performance, de sécurité, de coût;
L’avantage de la libre demande : un prix adapté à la consommation réelle du client
utilisateur et une optimisation de la consommation (élasticité en fonction du volume
des besoins à un moment précis);
Le cloud offre des moyens et outils pour superviser, contrôler et générer des
rapports sur l’utilisation.
6. 6
Trois principaux types de services Cloud
IaaS: infrastructure as a Service : Le
fournisseur de Cloud fournit
l’infrastructure hébergée (l’espace de
stockage, les serveurs notamment)
qui fera fonctionner la plate forme et
les applications de l’entreprise,
pendant que l’entreprise contrôle le
système d’exploitation et les
applications installées.
PaaS : Platform as a Service : Le
fournisseur de Cloud fournit la totalité
de l’environnement fonctionnel de la
plateforme. Il ajoute une couche sur
l’IaaS en fournissant la capacité de
déployer des applications sur une
infrastructure en nuage. Il ne reste
plus à l’entreprise qu’à maintenir ses
applications.
SaaS : Software as a Service : le
fournisseur de Cloud fournit, en plus
de tout le reste, les applications des
entreprises (CRM, messagerie,
ERP…). L’entreprise a seulement le
rôle du client/utilisateur
11. 11
Accès au Cloud
le client loue un droit d’accès
et d’utilisation du système
informatique auprès du
fournisseur.
Le client dispose ainsi d’un
accès à distance à des
applications sur un serveur
extérieur, ce qui le dispense
d’acquérir lui-même
l’infrastructure informatique
nécessaire, les licences
d’utilisation de progiciels etc.
12. 12
Les Entreprises et le Cloud
Parmi les multiples évolutions de l’informatique, des modèles d’organisation
et d’exploitation des technologies , on parle du Cloud Computing .
L’épanouissement du cloud a bénéficié de la convergence de plusieurs phénomènes
dont,
l’extension considérable et la multiplication de la puissance des équipements
informatique,
la numérisation,
la virtualisation ( base du cloud)
la prolifération et la diversification des logiciels et
la transformation du mode d’usage ou de consommation des entreprises et
des particuliers
Pour rester compétitives et bénéficier d’une plus grande agilité d’organisation
et de prise de décision, les entreprises tirent profit aujourd’hui des multiples
possibilités offertes par le Cloud à travers le réseau internet.
13. 13
Pourquoi partir dans le cloud ?
Les stratégies de cloud améliorent l’efficacité et la flexibilité de l’entreprise,
Le cloud permet d’offrir des services plus innovants et compétitifs,
Le cloud réduit les coûts globaux d’exploitation.
Comme tout investissement, les projets de cloud doivent être conduits par le
conseil d’administration afin de garantir la création de valeur et l’optimisation du
risque !!!
C'est une décision stratégique plutôt qu'une décision purement
technologique basée sur l’évaluation des avantages
Il s’agit de remplacer les actions de la configuration, de la mise en
œuvre et de la maintenance des applications internes par la mise en
œuvre d’une stratégie pour le cloud qui satisfait les besoins de
l'entreprise
14. 14
Avantages du Cloud
Gagner un avantage concurrentiel et pénétrer de nouveaux marchés,
Dans certains pays , gagner un avantage fiscal qui permet de réduire les impôts sur
le résultat
Améliorer les produits et services existants, fidéliser les clients actuels et
ramener de nouveaux clients
Accroître la productivité et réduire la propriété et la maintenance du matériel et
des logiciels, ce qui permet aux organisations de se concentrer sur leurs stratégies
et leurs points forts et de gagner sur le coût de la redondance
Développer des produits et services impossibles à élaborer sans les services
du cloud et s’affranchir des barrières géographiques.
Répondre au besoin de mobilité et d’accès à distance
Ne plus s’occuper de la gestion du centre de données ni du stockage
15. 15
Avantages du Cloud
Consommer moins d'énergie et contribuer au green IT
Mettre en place et mettre à niveau une infrastructure informatique même en cas de
budget informatique limité
Minimiser les durées de mise en place de l'infrastructure informatique en profitant
des techniques et des avantages de la virtualisation et du savoir faire des
fournisseurs de cloud
Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer les
demandes de pointe en investissant dans du matériel et des logiciels
supplémentaires sous-utilisés dans les périodes creuses.
Réaliser des économies potentiellement importantes en permettant aux
entreprises de maximiser l'informatique dynamique sur une base de paiement à
l'utilisation (éviter les frais fixes et payer par utilisateur/par transaction)
Aligner rapidement la technologie de l’information sur les stratégies commerciales
grâce à ce provisionnement à la demande
16. 16
Les données sont désormais accessibles partout et à tous, sans limitation de moyen et
de stockage et ceci à moindre frais. Elles deviennent encore plus importantes et
représentent un véritable gisement de valeur pour les entreprises.
!!! Le déplacement des données, systèmes et services vers le cloud expose les
entreprises à de grands risques/ défis en matière de sécurité , d’audit et de conformité.
Est-ce que l’accroissement des risques ne va pas peser plus lourd que les
résultats positifs du cloud , même s’ils sont bien réels ?
Quelle assurance y a t-il que les plans du management vont permettre d’obtenir
ces résultats ?
Comment le monde de la sécurité, de l’audit et de la conformité des systèmes
d’information doit évoluer dans les environnements Cloud ?
17. 17
Risques et Défis de mise en oeuvre du Cloud
a. Le cloud change la nature de certains risques qui existaient déjà dans un
environnement traditionnel mais qui peuvent augmenter ou diminuer suite au passage
dans le cloud
b. Le cloud conduit aussi à de nouveaux risques , tant du côté du prestataire que du
côté du client, car il bouleverse la prédictibilité associée aux architectures informatiques,
aux contrôles de sécurité et aux procédures d’audit traditionnels –
c. Le Cloud pose ainsi de nouveaux défis
aux professionnels de la sécurité, de la
conformité et de l’audit des systèmes
d’information qui sont chargés de protéger
les données de l’entreprise ainsi que les
ressources informatiques tout en s’assurant
de la conformité des mesures de sécurité.
18. 18
Risques Associés au Cloud
Les risques associés au Cloud dépendent de plusieurs facteurs dont :
la technologie et les contrôles de sécurité;
les contraintes légales et contractuelles;
le modèle de déploiement et la répartition des tâches avec les tierces parties;
les processus d’achat et d’audit.
Ces facteurs changent en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du
mode de déploiement - public ou privé et dépendent des menaces et des vulnérabilités de
l’environnement – Ils permettent d’augmenter ou d’atténuer le risque.
La sécurité et la confidentialité des données sont souvent vues comme des questions
cruciales, voire des obstacles à l’adoption de services d’informatique en nuage.
Hormis les risques liés à la technologie et à la sécurité, il existe également un grand
nombre d'autres problèmes à prendre en compte lors de la transition vers le nuage, tels
que les problèmes réglementaires, juridiques et liés à la conformité.
21. 21
Risques du Cloud et ISO 27000
Normes ISO 27002 , ISO 27017 , ISO 27018
Pour les environnements Cloud, la responsabilité des contrôles est
partagée entre le client et les fournisseurs externes.
La norme ISO 27002 divise les contrôles de sécurité en quatorze
catégories majeures et 114 mesures qui correspondent aux principales
sections d’un plan de sécurité typique pour une entreprise.
La norme ISO 27017 : Code de bonnes pratiques pour les contrôles de la
sécurité de l'information basés sur la norme ISO 27002 pour la prestation
des services en cloud
La norme ISO 27018: Code de bonnes pratiques pour la protection des
informations personnelles identifiables dans le cloud public agissant comme
responsable du traitement des informations personnelles identifiables.
22. 22
Risques du Cloud et ISO 27002
Chapitres de la Norme ISO 27002
Politiques de sécurité de l'information
Organisation de la sécurité de l'information
La sécurité des ressources humaines
Gestion des actifs
Contrôle d’accès
Cryptographie
Sécurité physique et environnementale
Sécurité liée à l’exploitation
Sécurité des communications
Acquisition, développement et maintenance des systèmes d’information
Relations avec les fournisseurs
Gestion des incidents liés à la sécurité de l’information
Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
Conformité
23. 23
Quelques Scénarios de risques
Risque 1 : L’entreprise devient vulnérable si elle ne met pas en place une gestion et une
maintenance plus transparentes et vérifiables.
Situation :
Une société peut facilement et rapidement augmenter ou diminuer ses niveaux de service
en fonction de l’évolution de ses besoins (elle a la possibilité d’acheter plus si elle souhaite
utiliser davantage).
Cette souplesse de paiement à la demande permet à une unité métier d’accroître la
capacité ou de demander des services supplémentaires d’un simple appel téléphonique.
De plus, les entreprises, en particulier lorsque elles sont confrontées à des délais urgents
qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent être
mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs de services
en cloud.
Conséquences :
Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en place
des services sans passer par les processus d’approvisionnement nécessaires à une bonne
gouvernance.
Il est également possible d’outrepasser les autorisations relatives au budget, les processus
de vérification des changements, les contrôles de protection de l’information et d’autres
processus de supervision, ce qui peut empêcher de se conformer aux règles internes.
24. 24
Quelques Scénarios de risques
Risque 2 : La dépendance au fournisseur entraine des problèmes de disponibilité et de
qualité des services et des données. La renommée, l’historique et la viabilité des
fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être
exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des
garanties suffisantes.
Risque 3: Le fournisseur de cloud prend souvent la responsabilité de la manipulation
des informations, un des actifs primordiaux de l’entreprise. S’il n’est pas capable
d’assumer les niveaux de services établis, la confidentialité mais aussi la disponibilité
risquent d’être compromises, ce qui perturbe gravement les opérations de l’entreprise.
Risque 4: L’accès d’un tiers à des informations sensibles risque de compromettre leur
confidentialité. Dans le cloud, cela peut représenter une menace importante pour les
éléments de propriété intellectuelle et les secrets commerciaux.
Risque 5: Les utilisateurs du cloud public, courent des risques, dans la mesure où la
connexion entre les postes et les serveurs passe par le réseau internet non sécurisé, et
les expose à la possibilité de cyber attaques, et de violation de confidentialité.
25. 25
Quelques Scénarios de risques
Risque 6: Les clouds publics permettent de développer des systèmes à haute
disponibilité avec des niveaux de services souvent impossibles à obtenir dans des
réseaux privés, sauf à des coûts très importants. L’inconvénient de cette disponibilité est
le risque de mélanger des données sensibles du client avec les données d’autres
clients du cloud, notamment celles des concurrents.
Risque 7: Tout actif informationnel (données, application ou processus) migré vers un
fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction des
conditions du contrat. Ainsi, l'entreprise peut perdre des données sensibles ou peut
les voir divulguées parce que l'entreprise n'est plus le seul propriétaire légal de
l'actif.
En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par
contrat) à payer des frais pour récupérer ses propres actifs.
En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner
une confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est
nécessaire de récupérer des informations, cela peut générer des retards
En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide
d'outils assurant un effacement complet pour empêcher la divulgation
26. 26
Quelques Scénarios de risques
Risque 8: Manque de contrôle directe et visibilité
Passer au cloud implique que les actifs informationnels de l’entreprise seront «
gérés » par le fournisseur. Cependant, il est probable que l’entreprise – le
propriétaire de l’actif informationnel – ait peu de connaissances ou de « visibilité »
sur les personnes, les processus et la technologie soutenant ses actifs
informationnels dans le nuage.
Les entreprises doivent abandonner voire déléguer le contrôle directe de tout
système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs de
services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur
la protection de la vie privée et par rapport aux responsabilités (Qui est
responsable et de quoi en cas de brèche de sécurité )
surtout que avec l’ambiguité légale et règlementaire , la jurisprudence est
très mince concernant les responsabilités en matière de cloud
Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à
des lois différentes dans les pays d'accueil et qui peuvent mettre les données
en danger
27. 27
Quelques Scénarios de risques
Risque 9: Non respect de la conformité par le client
Les données, systèmes et services échappent de plus en plus au contrôle des
services informatiques centralisés, ce qui représente un risque considérable pour la
sécurité des données sensibles et peut nuire à la capacité de l’entreprise à
maintenir sa conformité aux réglementations sectorielles et aux stratégies de
sécurité internes.
Les services achetés individuellement ( et sans vérification profonde au préalable)
peuvent entrer en conflit et menacer la conformité technique du client avec les
stratégies technologiques en place et même entrainer des problèmes de
conformité du client avec les réglementations légales et règlementaires
(portabilité et protection des données, copyright , application des lois,
responsabilité,..) car le client doit imposer à son fournisseur toutes les exigences
légales ou réglementaires qui s'appliquent à lui
28. 28
Quelques Scénarios de risques
Risque 9: Non respect de la conformité par le client (suite)
Il est constaté que les clients souffrent d’une insuffisance de transparence de la part
des prestataires de Cloud quant aux conditions de réalisation des prestations,
notamment sur la sécurité et sur la question de savoir si leurs données sont
transférées à l’étranger, et plus précisément à destination de quels pays. le risque de
non respect de la confidentialité des flux transfrontalier d'informations personnelles
identifiables (PII) augmente la complexité de la conformité et rend plus difficile le
respect des directives et lois sur la vie privée et sur la protection des données et
l'entreprise peut faire l'objet de poursuites et d'amendes pour non-conformité.
29. 29
Quelques Scénarios de risques
Risque 10: suite à l’exécution des audits réguliers de sécurité et des investigations afin
d'évaluer les mesures de sécurité du fournisseur, il y a possibilité de violer les
obligations contractuelles des fournisseurs envers leurs autres clients. En effet,
ces actions nécessitent un accès étendu aux capacités d'infrastructure et de
surveillance du fournisseur , qui sont souvent partagées avec ses autres clients et
peuvent compromettre la sécurité des données de ses derniers.
Les entreprises doivent pouvoir choisir un fournisseur de services de cloud capable
de satisfaire aux exigences en matière de conformité et d'offrir des preuves
irréfutables de sa conformité (certifications par des auditeurs tierce partie)
Risque 11: Perte de disponibilité ou reprise partielle / perte de données ou difficulté de
récupérer toutes ses données dans le délai spécifié suite à des problèmes en fin de
service
En cas de migration de l'entreprise d'un fournisseur de services vers un autre
ou le retour en interne des services
En cas d’échec ou de faillite du fournisseur , ou de crise de confiance dans la
situation financière du fournisseur ou s’il fait face à une action en justice ou s’il
est la cible potentielle d'une acquisition avec la probabilité de changements
soudains dans ses politiques et les accords mis en place.
30. 30
Quelques Scénarios de risques
Risque 12: Le cloud est similaire à toute infrastructure dans la mesure où des contrôles
de sécurité doivent être mis en place pour prévenir les attaques ou manquements de
sécurité. Les mesures de sécurité fournies par le fournisseur et sa politique de sécurité
devraient être alignées sur les exigences de sécurité de l'entreprise ( Stratégies et
Politiques) .
• Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer
que les applications utilisées répondent à ses exigences de sécurité pour réduire le
risque de divulgation et d’altération.
• Exemple : Les Clouds communautaires partagent des ressources entre différentes
entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain
niveau de confiance mutuelle. Cette confiance doit être régulée par une politique de
sécurité commune. Sinon, une attaque sur le «maillon le plus faible» du groupe
pourrait mettre en danger toutes les entités du groupe.
• Exemple : Les données sont disséminées partout et nécessitent une protection
supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin
supplémentaire de cryptage
Chiffrement de l'accès à l'interface de contrôle des ressources du cloud
Chiffrement de l'accès d’administration aux systèmes d'exploitation
Chiffrement de l'accès aux applications
Chiffrement des données d'application au repos
31. 31
Quelques Scénarios de risques techniques
Risque 13: Accès à des données non autorisées suite à un processus de gestion des
accès défectueux ou vulnérable (infrastructure et application, cloud public) et Visibilité
de certains actifs (par exemple, les tables de routage, les adresses MAC, les adresses
IP internes, le trafic LAN) par d'autres entités dans le même cloud et leur utilisation
d’une manière malveillante
Risque 14 : Visibilité de données sensibles aux autres locataires lorsque les
ressources sont allouées dynamiquement. Cela fait référence aux données qui ont
été stockées dans l'espace mémoire ou l'espace disque et qui peuvent être récupérées
par d'autres entités partageant le cloud ( concurrents)
Risque 15: Les infrastructures Cloud sont la cible d’attaques par des pirates et
malveillants profitant des vulnérabilités techniques des hyperviseurs, des navigateurs
, des applications et des services web pour rendre indisponibles les systèmes et / ou
réduire la protection des données – un pirate qui parvient à identifier une seule
vulnérabilité peut compromettre un grand nombre de systèmes
32. 32
Quelques Scénarios de risques
Autres risques/défis dûs à l’utilisation du cloud et à sa nature dynamique :
L'emplacement de l'installation de traitement peut changer en fonction de
l'équilibrage de la charge (Est-ce que le fournisseur Cloud vous assure de l'endroit
où les données sont hébergées?)
Manque de contrôle des versions SaaS en mode Public
Les infrastructures de Cloud ont généralement une architecture de sécurité unique
avec des modèles et standards de sécurité non encore matures alors que les clients
ont des demandes différentes.
Besoin supplémentaire de gestion des identités et des informations d’identification
Nécessité et défis de Journalisation
Non disponibilité des compétences nécessaires pour soutenir les solutions
de cloud
Résistance des fournisseurs aux audits
33. 33
Quelques Scénarios de risques
Autres risques/défis dûs à l’utilisation du cloud et sa nature dynamique :
- Les modes de facturation proposés sont parfois « flou », et dépendent de
plusieurs paramètres : volumétrie, le coût de production ou de mise à disposition, et
enfin le tarif locatif du service.
- Risques de transition , d'exécution et de retour en arrière
- Résistance culturelle et IT
- Non maitrise du contenu des contrats et SLA
Qui est le Propriétaire des données ?
Que se passe-t-il à la fin du contrat?
Performance (Temps de réponse)
Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont
elles lisibles?
Déclassement de matériel
Clause d’Audit
CAPEX vs OPEX (coûts fixes vs coûts variables)
34. 34
Contrat du Cloud
La conciliation entre les avantages qu’offre le cloud computing et les inconvénients
qu’il représente réside dans la relation formée entre le client et le prestataire et
l’équilibre contractuel entre les deux.
En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le
fournisseur (propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se
retrouver lié par ses clauses qui ne lui laissent pas la possibilité de négocier.
En Cloud Privé : les organismes spécialisés et les entreprises grands comptes
établissent avec le fournisseur un contrat personnalisé qui offre des services
adaptés à leurs besoins et qui prévient les risques et évite les inconvénients qui
peuvent résulter du service offert.
35. 35
Contrat du Cloud
Un contrat Cloud doit contenir un minimum de clauses qui assurent au client
un recours juridique plus efficace en cas de promesses non tenues ou de difficultés
dans l’exécution
L’interdiction de la cession du contrat par le fournisseur sans justifications et préavis
La connaissance et l’acceptation par le client de la chaîne des intervenants
Un droit de sortie du contrat sans pénalités en cas de changement de majorité ou de
contrôle du fournisseur
Que les données à caractère personnel restent dans le pays du client ( le cas
échéant)
Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur
Un droit de restitution ou de destruction des données sans délai supplémentaire et la
connaissance de la procédure de restitution des données (délai, format de
restitution, coût etc. à la fin du contrat
36. 36
Risques du Cloud : Facteur du risque et
Conséquences en IaaS
Facteur Indisponibilité Perte/Vol Divulgation
Évolutivité /élasticité X Decreasing
Récupération après sinistre et sauvegarde X X Decreasing
Gestion des patchs X X X Decreasing
Exigences transfrontalières légales X Increasing
Locations multiples et échec d'isolation X X Increasing
Manque de visibilité entourant les mesures
de sécurité techniques en place
X X X Increasing
Absence de Plan de Reprise après sinistre
et de sauvegarde appropriés
X X Increasing
Sécurité Physique X X X Increasing
Déplacement / élimination des données X Increasing
Infrastructure de délocalisation X X X Increasing
Maintenance de la sécurité des VM X X X Increasing
Authentification du fournisseur de cloud X X X Increasing
37. 37
Risques du Cloud : Facteur du risque et
conséquences en PaaS
Facteur Indisponibilité Perte/Vol Divulgation
Temps de développement
court
X X X Decreasing
Alignement des applications
avec la plateforme du
fournisseur
X X X Increasing
Vulnérabilités liées à
l’architecture orientée services
X X X Increasing
Arrêt des applications en fin de
service
X X Increasing
38. 38
Risques du Cloud : Facteur du risque et
conséquences en SaaS
Facteur Indisponibilité Perte/Vol Divulgation
Sécurité améliorée X X X Decreasing
Gestion des correctifs d'application X X Decreasing
Propriété des données X X X Increasing
Élimination des données X X Increasing
Manque de visibilité dans le cycle de vie
de développement SDLC
X X X Increasing
Gestion des identités et des accès
( IAM)
X X Increasing
Stratégie de sortie ou de retour en
interne
X X Increasing
Plus large exposition des applications X X X Increasing
Facilité de signature des contrats de type
SaaS
X X X Increasing
Manque de contrôle sur le processus de
mise en production
X X Increasing
Vulnérabilités liées au navigateur X X Increasing
39. 39
Risques du Cloud : Facteur du risque et
conséquences en Cloud Publique
Facteur Indisponibilité Perte/Vol Divulgation
Réputation publique X X X Decreasing
Partage complet du nuage
(mise en commun des
données)
X X X Increasing
Dommage indirect X X X Increasing
Dans une infrastructure informatique en nuage public, le fournisseur d’informatique
en nuage partage l’infrastructure et les ressources entre plusieurs entreprises et
personnes non reliées entre elles.
Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure entière
présenterait le risque de faire défaut, de se faire voler ou d’être saisie (pour des
raisons d’enquête), ceci incluant les services utilisés par d’autres entreprises
Il est important lors du processus de décision de bien considérer quels actifs peuvent
aller sur une infrastructure informatique en nuage publique et lesquels ne le peuvent
pas.
40. 40
Risques du Cloud : Facteur du risque et
conséquences en Cloud Communautaire
Facteur Indisponibilité Perte/Vol Divulgation
Même groupe d'entités X X X Decreasing
Accès dédié à la
communauté
X X X Decreasing
Partage du nuage X X X Increasing
Dans l’informatique en nuage communautaire, les services sont déployés et utilisés
par des clients qui nécessitent un environnement avec un niveau de « confiance
»sensiblement équivalent.
Dans certains cas, les entités possèdent la même politique de sécurité (renforçant
ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de stratégie ou de
politique commune.
41. 41
Risques du Cloud : Facteur du risque et
conséquences en Cloud Privé
Facteur Indisponibilité Perte/Vol Divulgation
Peut être construit sur place X X X Decreasing
Performance X X Decreasing
Compatibilité de l'application X X Increasing
Investissements requis
peut être déclenché
par le coût
peut être déclenché
par le coût
peut être déclenché
par le coût
Increasing
Compétences informatiques
Cloud requises
peut être déclenché
par le coût
peut être déclenché
par le coût
peut être déclenché
par le coût
Increasing
Dans une informatique en nuage privée, les services sont déployés uniquement pour les
services de l’entreprise. Aucune interaction de cette infrastructure avec d’autres entités
n’est autorisée. L’informatique en nuage privée existe sur site ou hors site.
42. 42
Risques du Cloud : Facteur du risque et
conséquences en Cloud Hybride
Facteur Indisponibilité Perte/Vol Divulgation
Interdépendance du cloud X X X Increasing
L’informatique en nuage hybride est un modèle permettant à l’entreprise l’association
du cloud publique, communautaire et privé, et ce dépendamment du niveau de
confiance requis pour leurs actifs informationnels.
43. 43
Audit des SI en cloud (bonne gouvernance)
Audit fondé sur les risques
L’organisation doit avoir l’assurance que ses fournisseurs cloud peuvent livrer
le service souhaité et que les contrôles pour adresser les risques – contrôles relatifs
à la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et le
caractère privé des données sont mis en place par le fournisseur et sont
fonctionnels
Les auditeurs doivent rassurer les utilisateurs
Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le
prolongement naturel de l’audit fondé sur les risques identifiés, en particulier
lorsque les contrôles ne réduisent pas suffisamment les risques.
L’approche fondée sur les risques est aujourd’hui la plus répandue pour divers
types d’audits ( ISACA, ISO 19011:2018)
L’approche fondée sur les risques est cependant compliquée par le fait que toutes
les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité
auditée
44. 44
Audit des SI en cloud :
Portée et Objectifs de l’audit
L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire
que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer
les contrôles d’atténuation des risques et auditer les éléments à risque.
Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation
et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des
lois et règlementations récentes en matière de sécurité et de protection des données ont
étendu la portée et objectifs de la conformité et de l’audit des SI à :
La gouvernance affectant le cloud
• Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité
opérationnelle.
• Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation qui
pourraient affecter l'organisation.
La conformité contractuelle entre le fournisseur de service et le client
• Principalement les accords sur les niveaux de service
L’évaluation des fournisseurs de services en Cloud et du contenu des contrats
Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des
fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité,
l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de
l'informatique dans le cloud.
45. 45
Audit des SI en cloud :
les défis de l'audit
Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance
raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le
fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !
Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des
responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important
que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent
directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place
Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne
remet généralement pas en cause
les techniques de contrôle (qui fait quoi et comment)
et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause
de la mobilité des données et des accès : les données peuvent théoriquement se trouver
n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou
stockées sur des points d’extrémité mobiles
46. 46
Audit des SI en cloud :
les défis de l'audit
Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance
raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le
fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !
Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des
responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important
que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent
directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place
Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne
remet généralement pas en cause
les techniques de contrôle (qui fait quoi et comment)
et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause
de la mobilité des données et des accès : les données peuvent théoriquement se trouver
n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou
stockées sur des points d’extrémité mobiles
47. 47
Audit des SI en cloud :
les défis de l'audit
Forte dépendance par rapport aux fournisseurs de service et manque de transparence :
Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité stricts et
efficaces qui garantissent aux clients que leurs informations sont réellement protégées contre les
accès, les modifications et les destructions non autorisés. Or Lorsque l’entité a confié des
services à un tiers fournisseur de services, l’audit direct de ce fournisseur de services n’est pas
toujours pratique, voire possible.
48. 48
Audit des SI en cloud :
les défis de l'audit
Les prestataires de cloud sortent difficilement de leurs contrats-type surtout pour le cloud
public et Les contrats portant sur les services cloud sont jugés par les entreprises comme étant
complexes et trop en faveur des prestataires.
L’auditeur doit trouver les réponses aux questions suivantes:
Quels collaborateurs (du fournisseur) ont accès aux informations du client ?
Les responsabilités des différents collaborateurs du fournisseur sont-elles bien
cloisonnées?
Comment les informations des différents clients sont-elles séparées ?
Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en
temps opportun ?
Est-ce que des contrôles de confidentialité sont en place ?
Est-ce que des voies de communication et d’information sécurisées sont en place et
validées avant la fourniture des services ? Sont elles testées périodiquement ?
Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de négociations. Le
RGPD peut notamment aider à inverser le rapport de force.
49. 49
Audit des SI en cloud :
les défis de l'audit
Outils de découverte , de diagnostic et d’investigation : Les traditionnels outils de supervision
et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud ni aux
équipements mobiles et l’auditeur doit élargir ses investigations ( nouveaux outils , nouvelles
méthodes de tests) pour s’assurer encore plus de la sécurité des données
Augmentation de la quantité de travail: Les risques du cloud diffèrent en fonction du type de
cloud ( Saas, IaaS, Public, Privé,…) ; L’auditeur doit Identifier et évaluer les risques inhérents au
type de cloud utilisé et étendre aux risques qui doivent être considérés dans toute l'entreprise.
Nécessité de développement de compétences techniques et juridiques supplémentaires:
Les auditeurs des TI doivent obtenir une compréhension des technologies du Cloud et connaitre
les principaux risques par type de cloud pour effectuer une évaluation efficace des risques; ils
doivent en outre avoir une maitrise juridique permettant de neutraliser les inconvénients des
contrats de cloud.
51. 51
Audit des SI en cloud :
les défis de l'audit
De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de
réglementations et de normes.
La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la conformité
à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud.
Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de
protection des données personnelles
Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et
d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations
Difficultés de vérification de la conformité :
Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique et
qu’elles soient difficiles à localiser et à récupérer.
Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient fournies
sans compromettre d’autres informations.
L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses informations
lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de refuser les informations
aux autorités.
Des données sensibles sont également stockées sur des smartphones, des tablettes PC et
d’autres équipements mobiles.
52. 52
les défis de l'audit
Difficulté de vérification de la conformité à cause de la circulation internationale des
informations—
En principe lorsque le fournisseur de service cloud est installé ou représenté dans un pays
c’est la législation du pays hôte qui s’applique.
L’emplacement physique détermine la juridiction et les obligations légales en vigueur.
Dans chaque pays, la teneur des lois qui réglementent les informations d’identification
personnelle est très variable.
Parfois, Lorsque les données peuvent être stockées n’importe où dans le nuage, leur
emplacement physique peut poser problème.
La particularité du service cloud est de se déployer dans un espace sans frontière ce qui met
en relation des clients et des fournisseurs de différents pays du monde.
L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux lois et
règlementations car ce qui est permis dans un pays peut constituer une infraction dans
un autre.
Audit des SI en cloud :
53. 53
Audit des SI en cloud :
les défis de l'audit - Conclusion
Le cloud constitue une opportunité rare de repenser la sécurité ( revoir sa politique de sécurité)
et le contrôle informatique pour un meilleur avenir ;
L’auditeur des systèmes d’informations doit donc identifier les nouveaux aspects affectés par
le cloud et affectant le cloud et rechercher des solutions pour obtenir des résultats similaires
à ce qu’il attend des environnements des centres de données traditionnels
Des référentiels solides sur les TI et les risques peuvent aider l’auditeur à effectuer une
évaluation efficace des risques.
L’audit interne peut apporter de la valeur ajoutée en examinant la gestion des contrats, en
vérifiant que les contrats comprennent formellement une clause d’audit et que les fournisseurs
ont de solides seuils d’alerte en place.
Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles aller ? La réponse
dépendra de l’appétence pour le risque de l’organisation.
54. 54
Compétences minimales d'audit
Impact psychologique
Modèle de gouvernance informatique
Intégration avec les systèmes informatiques internes
Connectivité réseau / bande passante
Emplacement des données
Location partagée
Verrouillage avec le fournisseur
Stabilité, fiabilité et viabilité du fournisseur de services cloud
Portabilité du service
Aspects juridiques et de conformité réglementaire (y compris les licences, Arrangements contractuels)
Gestion de la sécurité de l'information (y compris IAM)
Réponse aux incidents et gestion de crise
Gestion de la continuité des activités et planification de la reprise après sinistre
Archivage et suppression des données
(Droit à) Audit (Pentest, screening, monitoring, ...)
55. 55
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Le CloudAudit est un
important sous-groupe
de l’Alliance
CSA qui développe
une interface de
programmation
d’applications pour
automatiser l’audit,
l’évaluation et la
garantie des données
et des applications au
sein et entre
les nombreux Clouds
56. 56
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Cloud Control Matrix : l’analyse des risques transparente pour le Cloud
La Cloud Control Matrix se positionne comme un outil efficace pour donner un
premier niveau d’information et permettre d’évaluer la sécurité d’un service Cloud.
La Cloud Control Matrix ou CCM est une liste de contrôles sécurité orientés Cloud,
mise à disposition sur le site de la Cloud Security Alliance, qui permet de jeter les
premières fondations de l’analyse de risque d’un service Cloud.
La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud pour auto-
évaluer leur niveau de sécurité mais peut etre utilisé par l’auditeur pour faire une
analyse des écarts
Chaque contrôle est croisé avec d’autres normes ou standards de sécurité déjà
utilisés dans le monde industriel, comme l’ISO 27001/27002, COBIT, PCI DSS …
57. 57
ISACA , Cobit et le Cloud
Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou ITAF™)
contient des indications (section 3630.6) sur l’externalisation et les activités confiées
à des tiers qui renvoient également à d’autres référentiels comme le COBIT® (PO4,
PO7, PO8, PO9, AI2 et AI5) et les IT Audit and Assurance Guidelines G4, G18, G32
et G37 de l’ISACA. Ces documents fournissent une aide technique utile pour
l’exécution d’un audit de TI dans le Cloud
COBIT 5 est un ensemble complet de ressources qui contient toutes les informations
dont une organisation a besoin pour adopter un cadre de gouvernance et de
contrôle informatique.
COBIT 5 et les produits connexes sont utiles en matière de gouvernance et de
gestion des investissements complexes tels que les services de cloud computing.
Se servir de COBIT 5 pour mettre en place des pratiques cohérentes peut contribuer
à maximiser la valeur et à maîtriser le risque de l’utilisation du cloud
COBIT 5 permet une meilleure gouvernance et gestion du cloud
58. 58
Cobit 5 et Gouvernance du Cloud
• Gouvernance
Gouvernance des services informatiques dans le cloud
Management des risques de l’entreprise
Gestion des services offerts par un tiers
Conformité et Obligations Contractuelles
Conformité légale
Droit à l’audit
Auditabilité
Périmètre de conformité
Certifications
Planification de la transition de service
59. 59
Cobit 5 et Gestion du Cloud
• Management et Operations
Notification d’incidents, réponses et mesures correctives
Sécurité de l’application
Conformité
Outils et Services
Fonctionnalités de l'application
Intégrité et Sécurité des données
Gestion des clés
Gestion des accès et des identités
Virtualisation
Standards et bonnes pratiques
60. 60
Opérations/ Recommandations d’audit du
Cloud
Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de
gouvernance claire et un plan de gestion doivent être élaborés.
La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein
de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :
les contraintes légales , pratiques et techniques doivent être définies
les données, traitements ou services qui pourraient être hébergés dans le
Cloud doivent être clairement identifiés.
Étant donné les risques potentiels, il est important de mettre en place un programme
de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre
une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien
protégée.
Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de
communication , matrices des rôles et responsabilités pour obtenir la sécurité
Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le
contrat précise les domaines dans lesquels le fournisseur de cloud est responsable,
y compris pour les conséquences d’un éventuel problème ; des engagements de
transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans
les contrats de prestation de services.
61. 61
Opérations/ Recommandations d’audit du
Cloud
Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre qui s’étend bien
au delà des limites traditionnelles, les professionnels de la sécurité doivent utiliser des contrôles
de sécurité éprouvés au niveau des données elles mêmes, et ce, où qu’elles se trouvent, car il
s’agit du moyen le plus efficace pour protéger les données sensibles et atteindre les objectifs de
conformité.
Le recours à des normes et à des cadres de référence permet aux entreprises de vérifier la
qualité des mesures de sécurité et des contrôles internes de leur fournisseur de cloud
Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils agissent dans les
règles en présentant des garanties indépendantes provenant d’audits de tiers ( certifications ISO
27001 , ISO 22301 , ISO 20000, PCIDSS, HIPAA, SOX, SOC1/SAS 70, SOC2 (La
reconnaissance du niveau de sécurité du Cloud ))
OVH est ISO27001 , SOC1 et SOC 2
Les services cloud Microsoft respectent les normes SOC (Service Organization Controls)
en matière de sécurité opérationnelle.
Les fournisseurs doivent disposer d’un contrat d’assurance et doivent communiquer les
attestations correspondantes à leurs clients. Ils doivent offrir les garanties en matière de
protection des données personnelles
Il est nécessaire de réaliser périodiquement une évaluation des services en Cloud en fonction de
l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la
législation, etc
62. 62
Rapport établi par des instituts européens d’audit interne
Ce rapport liste les sujets incontournables qui reflètent les domaines de risques
auxquels les responsables de l’audit interne donnent la priorité alors qu’ils préparent
leurs plans d’audit pour 2018 et procèdent aux évaluations des risques à plus long
terme.
Ce rapport montre l’impact fondamental des technologies qui déterminent, facilitent
et bouleversent les opérations et les stratégies des organisations.
Ce rapport est une pression qui incite les auditeurs internes à acquérir de nouvelles
compétences et à adopter des outils innovants afin de renforcer leurs capacités
dans un monde de plus en plus numérique.
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT
INTERNE EN 2018
63. 63
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT
INTERNE EN 2018
Rapport établi par des instituts européens d’audit interne
Les domaines de risque par ordre d’identification commune
RGPD : l’enjeu de la protection des données
Cybersécurité : le chemin de la maturité
Complexité réglementaire et incertitude
Rythme de l’innovation
Incertitude politique : BREXIT et autres inconnues
Risques liés aux fournisseurs et maîtrise de la relation avec les tiers
La problématique de la culture
Capital humain : se projeter vers le futur
Transformer la fonction d’audit interne