en | fr

 Demander une démo    |     Nous contacter       |    Support 

Sécurité du Cloud public : la solution aux problématiques de sécurité des SI ?

"La sécurité continue d'être la raison la plus fréquemment citée pour éviter l'utilisation du Cloud public", a déclaré Jay Heiser, VP du Gartner Group. "Pourtant, paradoxalement, les entreprises qui utilisent déjà le Cloud public considèrent la sécurité comme l'un des principaux avantages".

securite du cloud public
Contrairement à certaines idées reçues, le Cloud Public ne serait-il pas plus sécurisé que les Cloud Privés?

Le Cloud Public est porteur de débats au sein des experts en sécurité informatique

Des enquêtes datant de quelques années en arrière, interrogeant les dirigeants d'entreprises et RSI mettaient en lumière que le principal frein à l'adoption du Cloud Public était sa sécurité.
La dernière enquête annuelle de Rigtscale sur le Cloud auprès de 1.060 professionnels IT montre que la sécurité n'est plus la préoccupation première pour adopter les usages du Cloud mais la formation des équipes et le manque de ressources.

Guillaume Poupard, le directeur général de l’ANSSI a évoqué dans son discours dès 2015 : "Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité". En effet, alors un Cloud Privé, bien déployé est très onéreux, le Cloud Public permet de donner accès aux PME à des solutions sécurisées et fiables.
Il semble que peu à peu, le Cloud Public soit devenu LA solution de sécurité pour les entreprises

Les 3 niveaux de la sécurité informatique dans le modèle IaaS

modele securite cloud

OF the Cloud

La sécurité propre au fournisseur Cloud d'IaaS :

- Sécurité de ses Datacenters,
- Sécurité de son architecture Cloud : orchestrateur,
- Services de sécurité transverses : protection Ddos, patch management, ...

IN the Cloud

La sécurité qui est proposée nativement au Client dans son offre IaaS :

-La gestion des habilitations (modèle RBAC, intégration à un annuaire d'entreprise, etc),
- Les services de sécurité en mode aaS : par exemple, un VPNaaS, un Firewall aaS

FOR the Cloud

La sécurité proposée par des tiers :


- Qui fonctionne sur l’infrastructure IaaS,
- Qui est en fait un catalogue de solutions de sécurité tierce qui est validée dans le IaaS

Le partage des responsabilités entre le Client et le fournisseur Cloud en modèle IaaS

partage_responsabilite_securite_IaaS
partage_responsabilite_securite_IaaS

Les principales responsabilités qui incombent toujours au Client dans un modèle IaaS sont :

  • La gestion des habilitations pour l'accès à ses environnements via la Console mise à disposition par le fournisseur Cloud et pour l'accès aux applications
  • La gestion des correctifs au niveau des OS, des middlewares et des applications utilisées
  • Le chiffrement des données et des VM 
  • Les anti-virus
  • Les tests de pénétration au niveau applicatif

Quelles certifications pour connaitre la sécurisation d'un Cloud public ? 

 

Malgré la popularisation croissante du Cloud public, il s’avère toujours compliqué de savoir précisément si un Cloud est réellement sécurisé ou non. Il existe un besoin réel de rassurer les clients et prestataires par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données.

Les certifications et labels donnent aux fournisseurs un moyen concret de monter leur maturité en matière de sécurité. Pourtant tous ces éléments ne se valent pas. Depuis 5 ans, différents labels ou référentiels ont vu le jour, mais aucun ne parvient encore à avoir l’aura dont dispose actuellement l’ISO 27001, une des références dans le domaine de la sécurité de l'information.

Aux Etats Unis, le CSA (Cloud Security Alliance) délivre des certificats de sécurité pour les fournisseurs Cloud appelé CSA STAR qui possède plusieurs niveaux différents d’exigence.

 

En France, l’ANSSI propose une certification appelée SecNumCloud et un label nommé Cloud Confidence. Ces deux étiquettes reposent en partie sur la norme ISO 27001 et se complètent au niveau du contenu, permettant aux entreprises de choisir le référentiel qui convient le mieux à leur problématique.

L’autre importante avancée sur le chemin d’une certification de sécurité Cloud pertinente a été la sortie de la norme ISO 27017. Peu de Cloud publics possèdent cette certification. Cette norme contient les directives relatives à l'implémentation de contrôles de sécurité de l'information pour les services de cloud.

Comparé au référentiel de l’ANSSI SecNumCloud, cette norme ISO 27017 se positionne aussi bien du côté fournisseur de Cloud qu’au niveau de l’entreprise utilisatrice.

La certification ISO 27017 : une bonne réponse aux problématiques de sécurité ?

Tout d'abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, ...), mais de la compléter :

En précisant les mesures de sécurité existantes dans la 27002 et en distinguant l'application de cette mesure soit :

  • vers le fournisseur Cloud
  • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
  • vers les 2 parties

En ajoutant des mesures de sécurité manquantes de la 27002 comme :

  • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
  • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
  • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces ...)

Si la norme ISO 27017 n'est pas beaucoup plus technique que les autres normes de la série 2700x, elle couvre bien l'ensemble des problématiques de sécurité.

  • témoignage du groupe AlterEos
    "C'est une solution française, qui est adaptée aux PME comme le notre grâce à sa simplicité, sa souplesse d'utilisation et un budget adapté."
    Ludovic D.
    RI du groupe AlterEos
  • valloire habitat
    "De la patience et du temps ont été consacrés à chacun d'entre nous afin de rendre les axes de recherches opérationnelles et cela sans surcout pour notre projet."
    Willy FREULON
    DAF-SI Valloire Habitat
  • témoignage AlterEos Groupe
    "C'est une solution adaptée aux PME, compréhensible par tous et techniquement performante."

    Sylvie CHEYNEL 
    Présidente du Directoire d'AlterEos
  • "Afin de garantir que nous ne serions pas vulnérables en cas de défaut de l’opérateur initial, nous avons décidé de trouver un opérateur alternatif, qu’il devait répondre à des critères de qualité compatibles avec le statut de délégataire de service public, et devait héberger les données en France. "
    Michel Nicol 
    Opposetel
  • Avec ses automatismes qui tirent parti du cloud (OpenStack) et du stockage objet, Nuabee se distingue par la rapidité de reconstruction du système d’information sur le site de secours en mode cloud, sa facilité d’utilisation et un bon rapport coût/risque. Avec la solution de son partenaire Nuabee, Orange peut donc proposer une réponse bien ciblée sur les attentes d’un grand nombre de PME et même d’ETI. "

    Dusquesne Group

  • logo client nuabee
    "Les 3 avantages de la solution du PRA de Nuabee sont :
    1 le Rapport Qualité Prix,
    2 la Fiabilité,
    3 la Documentation et conseils"
    Willy FREULON
    DAF-SI Valloire Habitat
  • témoignage alter eos

    "Nous avons eu un souci de crash sur une baie de disques, ayant pour conséquences l'indisponibilité de VM, nous avions absolument besoin d'un fichier, et la réactivité de Nuabee nous a permis de le recupérer beaucoup plus rapidement que par notre méthode de sauvegarde traditionnelle."

    Ludovic D.- RI du groupe AlterEos

NOUS CONTACTER PAR TELEPHONE

icones tele
+33 4 28 29 79 01

NOUS POSER UNE QUESTION

icones mail

DEMANDER UNE DÉMO

icone demander une demonstration