en | fr

 Demander une démo     |     Nous contacter     |     Connexion    |    Support 

Sécurité du Cloud public : la solution aux problématiques de sécurité des SI des entreprises ?

"La sécurité continue d'être la raison la plus fréquemment citée pour éviter l'utilisation du Cloud public", a déclaré Jay Heiser, VP du Gartner Group. "Pourtant, paradoxalement, les entreprises qui utilisent déjà le Cloud public considèrent la sécurité comme l'un des principaux avantages".
 
Alors contrairement à certaines idées reçues concernant la sécurité du Cloud public, celui-ci peut-il être une bonne solution aux problématiques de sécurité des entreprises
 

On entend des propos étranges sur la sécurité du Cloud Public

Il y a encore peu de temps, les enquêtes au niveau des dirigeants d'entreprises et responsables informatiques indiquaient que la sécurité était le principal frein à l’adoption du Cloud.

Il semble que cela soit devenu le contraire et que le Cloud public devienne LA solution de sécurité pour les entreprises.securite cloud public

 

Ainsi :

L'ANSSI dès 2015, Guillaume Poupard, le directeur général de l’ANSSI a évoqué dans son discours : “Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité».

  • La dernière enquête annuelle de Rigtscale sur le Cloud auprès de 1.060 professionnels IT montre que la sécurité n'est plus la préoccupation première pour adopter les usages du Cloud mais la formation des équipes et le manque de ressources

 

La sécurité dans le modèle IaaS

La sécurité dans le modèle IaaS doit être décomposée en 3 niveaux 

 

modele_securite_cloud

OF the Cloud

La sécurité propre au fournisseur Cloud d'IaaS :

sécurité de ses Datacenters,

sécurité de son architecture Cloud : orchestrateur,

services de sécurité transverses : protection Ddos, patch management, ...

IN the Cloud

La sécurité qui est proposée nativement au Client dans son offre IaaS :

la gestion des habilitations (modèle RBAC, intégration à un annuaire d'entreprise, etc),

les services de sécurité en mode aaS : par exemple, un VPNaaS, un Firewall aaS

FOR the Cloud

La sécurité proposée par des tiers :

qui fonctionne sur l’infrastructure IaaS,

qui est en fait un catalogue de solutions de sécurité tierce qui est validée dans le IaaS

Le partage des responsabilités en modèle IaaS

partage_responsabilite_securite_IaaS

partage_responsabilite_securite_IaaS

Les principales responsabilités qui incombent toujours au Client dans un modèle IaaS sont :

  • La gestion des habilitations pour l'accès à ses environnements via la Console mise à disposition par le fournisseur Cloud et pour l'accès aux applications
  • La gestion des correctifs au niveau des OS, des middlewares et des applications utilisées
  • Le chiffrement des données et des VM 
  • Les anti-virus
  • Les tests de pénétration au niveau applicatif
Voir la vidéo sur la sécurité du Cloud public

La certification ISO 27001 a t'elle un sens pour un Cloud public ? 

Malgré la popularisation croissante du Cloud public, il s’avère toujours compliqué de savoir précisément si un Cloud est réellement sécurisé ou non. Il existe un besoin réel de rassurer les clients et prestataires par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données.

Les certifications et labels donnent aux fournisseurs un moyen concret de monter leur maturité en matière de sécurité. Pourtant tous ces éléments ne se valent pas. Depuis 5 ans, différents labels ou référentiels ont vu le jour, mais aucun ne parvient encore à avoir l’aura dont dispose actuellement l’ISO 27001, une des références dans le domaine de la sécurité de l'information.

Aux Etats Unis, le CSA (Cloud Security Alliance) délivre des certificats de sécurité pour les fournisseurs Cloud appelé CSA STAR qui possède plusieurs niveaux différents d’exigence.

En France, l’ANSSI propose une certification appelée SecNumCloud et un label nommé Cloud Confidence. Ces deux étiquettes reposent en partie sur la norme ISO 27001 et se complètent au niveau du contenu, permettant aux entreprises de choisir le référentiel qui convient le mieux à leur problématique.

L’autre importante avancée sur le chemin d’une certification de sécurité Cloud pertinente a été la sortie de la norme ISO 27017. Peu de Cloud publics possèdent cette certification. Cette norme contient les directives relatives à l'implémentation de contrôles de sécurité de l'information pour les services de cloud.

Comparé au référentiel de l’ANSSI SecNumCloud, cette norme ISO 27017 se positionne aussi bien du côté fournisseur de Cloud qu’au niveau de l’entreprise utilisatrice.

Alors ISO 27017 : une bonne réponse ?

Tout d'abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, ...), mais de la compléter :

  • en précisant les mesures de sécurité existantes dans la 27002 et en distinguant l'application de cette mesure soit :
    • vers le fournisseur Cloud
    • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud utilisé)
    • vers les 2 parties
  • en ajoutant des mesures de sécurité manquantes de la 27002 comme :
    • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI),
    • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important),
    • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces ...)
    •    ...

Si cette norme n'est pas beaucoup plus technique que les autres normes de la série 2700x, elle couvre bien l'ensemble des problématiques de sécurité.

Notre métier

Nuabee fournit des solutions de Plan de Reprise d'Activité dans le Cloud (PRA as a Service) et de sauvegardes en ligne de serveurs s'appuyant sur les infrastructures de Cloud public d'Orange basées sur Openstack (Flexible Engine et Cloudwatt)

Orange Cloud for Business

Label TRUXT

le gage de la pérennité financière et de la capacité opérationnelle de Nuabee

Label Truxt

Nos partenaires

Eurocloud OpenStack CloudBerry Lab