externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

Transcription

1 LIVRE BLANC Externalisation sécurisée Juillet 2012 externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte Russell Miller Tyson Whitten CA Technologies, Gestion de la sécurité agility made possible

2 table des matières SECTION 1 : Défi 3 Évaluation de la sécurité lors du passage au Cloud SECTION 2 : Solution 3 Gestion des identités à forts privilèges et protection des informations pour une externalisation plus sécurisée SECTION 3 : Conclusions 11 SECTION 4 : Références 11 SECTION 5 : À propos des auteurs 12

3 Section 1 : Défi Évaluation de la sécurité lors du passage au Cloud Quelle que soit leur taille ou leur activité, de plus en plus d organisations font appel aux services Cloud non seulement pour des fonctions métier critiques, mais aussi pour le stockage et le traitement de leurs données les plus sensibles. Selon le Gartner, «à la fin de l année 2016, plus de 50 % des principales entreprises mondiales auront stocké leurs données client sensibles dans le Cloud public». 1 D autres continuent à résister à l attrait des services Cloud en raison de préoccupations relatives à la sécurité. Ces deux types d organisations se rendent compte que la «sécurité du Cloud» n en est qu à ses débuts et qu il lui manque encore des normes de référence, voire même des normes officieuses. La gestion et la surveillance des données et des identités à forts privilèges en interne sont devenues une exigence pour de nombreuses organisations. Cela réduit le risque de violations par des personnes internes, aide à garantir la responsabilisation des administrateurs, simplifie la mise en conformité et peut même accélérer l adoption de nouvelles technologies. Cependant, les mêmes organisations qui contrôlent méticuleusement leurs données et identités internes externalisent fréquemment leurs services IT vers ce qui n est au fond qu une «boîte noire», abandonnant tout contrôle direct et confiant à des sociétés d hébergement de services Cloud la sécurisation de leurs données. Tandis que la sécurité est régie par des accords en matière de règles et de procédures de sécurité, les actions des différents administrateurs sont souvent dissimulées. Cela implique que les actions des administrateurs et les droits spécifiques sont considérés d une certaine façon comme moins risqués lorsqu ils sont fournis par une entité extérieure. Ce n est malheureusement pas le cas. De même, les données ne sont pas nécessairement mieux protégées des accès non autorisés en étant stockées sur un réseau interne à la société ou dans le data center d une société d hébergement. En optant pour l externalisation, les organisations acquièrent une grande flexibilité. Elles peuvent choisir de conserver un contrôle fort en préférant un environnement Cloud privé autogéré ou elles peuvent faire appel à des tiers pour la gestion et l hébergement de leur infrastructure, plate-forme ou service Cloud. Chaque type de Cloud et de service possède ses propres défis en matière de sécurité ; toutefois, pour tous les types de Cloud, la sécurité des identités et des données permet d accroître la transparence et de réduire les risques. Section 2 : Solution Gestion des identités à forts privilèges et protection des informations pour une externalisation plus sécurisée L élément clé pour maîtriser la sécurité dans un environnement Cloud est de comprendre que les principes fondamentaux de protection de la confidentialité, de l intégrité et de la disponibilité des informations restent inchangés. Lorsqu elles utilisent un environnement Cloud, les organisations doivent être conscientes des risques auxquels peuvent être exposés leurs systèmes et leurs données. Pour ce faire, elles doivent s assurer du respect des meilleures pratiques de gestion des identités et des accès (IAM), tant en interne qu au sein des sociétés d hébergement. 3

4 La migration vers un environnement Cloud hébergé implique l abandon d un niveau de contrôle, mais la sécurité ne doit pas nécessairement en pâtir. De nos jours, les outils de gestion des identités et des accès permettent aux organisations de déterminer le niveau de sécurité et de transparence que leur société d hébergement doit leur garantir. Le niveau de transparence IAM dépend du type de services Cloud envisagé : Cloud privé (interne et externe) Infrastructure à la demande (IaaS, Infrastructure as a Service) Plate-forme à la demande (PaaS, Platform as a Service) Logiciels à la demande (SaaS, Software as a Service). Chaque type de service Cloud présente ses propres défis en matière de sécurité et la manière d y répondre doit être adaptée en fonction tant du type de service Cloud que des exigences de sécurité des organisations. Ce qui caractérise un environnement Cloud privé n est pas le lieu d hébergement, mais l absence de ressources partagées ou «hébergement multiclient». Il peut aussi bien être au sein d une organisation avec du matériel propre ou se situer à l extérieur en faisant appel à des systèmes et appareils d une société d hébergement. Toutefois, les risques sont nettement plus grands avec un hébergement hors site, la séparation des infrastructures devant être contrôlée. Pour tous les types de Cloud, outre les meilleures pratiques standard de renforcement, d architecture de réseau, de règles et de procédures, des outils de gestion des identités et des accès sont essentiels afin de permettre aux bonnes personnes d accéder aux systèmes et données appropriés. Cela implique la connaissance des identités et des accès, de la sécurité des systèmes et des données, du reporting/de la journalisation des activités des utilisateurs. Les 5 principales questions à poser à votre sous-traitant Questions Questions complémentaires 1. Où mes données sont-elles stockées? Où seront stockées mes données sensibles? Puis-je déterminer des emplacements de stockage interdits? Vais-je bénéficier d une visibilité en temps réel? 2. Qui a accès à mes serveurs et à mes données? 3. Comment mes systèmes et mes données sont-ils protégés? Quels sont leurs rôles? Sont-ils les seuls responsables de mon compte? Comment l accès à mes données est-il accordé ou refusé? Comment les droits administratifs d hyperviseur sont-ils gérés? Comment mes données sont-elles contrôlées? Êtes-vous en mesure de prouver que vos systèmes de contrôle sont conformes avec les réglementations me concernant? 4

5 4. Quelles sont les données d activité qui sont consignées dans des journaux? 5. Comment soutenez-vous la mise en conformité? Quel est le niveau de granularité enregistré? De quelle façon la responsabilisation est-elle assurée pour les comptes partagés (p. ex. «root»)? Comment les administrateurs temporaires sont-ils gérés? Quelle est la procédure d octroi d accès d urgence à un compte? Quel type de reporting mettez-vous à disposition? Les rapports seront-ils automatisés et faciles à générer pour les auditeurs? Où mes données sont-elles stockées? L implication du transfert de contrôle de données organisationnelles sensibles à des sous-traitants reste une entrave importante à la migration d entreprises vers les services Cloud. Selon le Gartner, «la sécurité des données sensibles dans le Cloud est la principale préoccupation par rapport à l adoption du Cloud». 2 Les entreprises doivent avoir l assurance que l externalisation maintient le risque de corruption et de non-conformité des données stable, voire le diminue. Les entreprises doivent respecter différentes étapes au moment de la migration des données en dehors de l organisation et au cours de leur gestion quotidienne. 1. Comprendre votre base de données : la première étape consiste à réaliser un inventaire des données en rapport avec ce qui est externalisé. Dans le cas de l externalisation d applications métier vers un fournisseur d hébergement géré, il s agit de comprendre le type de données stockées et communiquées dans le cadre de ces applications. En outre, il convient d évaluer la sensibilité des informations par rapport aux règles sectorielles et réglementaires. Les technologies de classement automatisé représentent un bon point de départ pour la réalisation de cet inventaire d informations sensibles. Il est important de vérifier si des éléments de données d identification personnelle (PII), de propriété intellectuelle (IP) ou du secteur des cartes de paiement (PCI) seront transférés à un tiers. 2. Déterminer ce qui peut être migré : l étape suivante est la détermination de ce que vous pouvez transférer. L entreprise doit décider sur la base des risques ce dont il est acceptable de confier la gestion à un tiers. Indépendamment des contrôles effectués, certaines informations peuvent simplement être trop sensibles pour être externalisées. Il s agit d un point important avant de poursuivre le processus d externalisation. 3. Exiger la visibilité : une fois identifié ce qui peut être externalisé, vous devez déterminer comment avoir la garantie que les données seront stockées à un emplacement spécifique. Les exigences réglementaires en termes de stockage et de sécurisation de certains éléments de données varient à l échelle locale et mondiale. Si la loi exige que des types de données spécifiques soient stockés dans une région précise, vous devez vous assurer qu il en sera ainsi durant toute la durée d exécution du contrat. La négociation de dispositions contractuelles spécifiant que les données seront stockées dans une certaine région ne suffit cependant plus comme seule assurance. Les entreprises commencent à exiger une visibilité en temps réel sur l emplacement des informations sensibles qu elles ont externalisées. Les fournisseurs quant à eux répondent à cette demande en permettant une visibilité en temps réel sur l emplacement des données comme outil de démarcation. La possibilité de connaître l emplacement de vos informations au cours de l externalisation vous permet de continuer à prendre des décisions en connaissance de cause sur base des risques, même lorsque les données sont hors de votre contrôle, tout en facilitant grandement les tâches associées aux obligations de conformité au moment de votre audit annuel. 5

6 Qui a accès à mes serveurs et à mes données? Une fois la question de la visibilité sur l emplacement des données sensibles réglée avec le fournisseur, l étape suivante vise à déterminer comment sera géré l accès aux systèmes accueillant les informations sensibles. Pour ce faire, il est crucial de comprendre le mode d utilisation des identités de la société d hébergement ainsi que son modèle de sécurité. Une société d hébergement doit être à même de démontrer qu¹elle maîtrise et applique divers principes de sécurité de base concernant la gestion des identités : Droits minimaux : toutes les identités, et en particulier les administrateurs, ne doivent disposer que des droits d accès minimum nécessaires à leurs fonctions. Séparation des fonctions : le principe de séparation des fonctions implique que plus d une personne soit nécessaire pour exécuter une tâche (p. ex. une personne ne peut pas initier ET approuver une transaction). Une société d hébergement doit être en mesure de décrire ses rôles administratifs et leur gestion. Par exemple, la gestion de la sécurité de systèmes et applications critiques (telles que les bases de données) doit être séparée de la gestion des systèmes. Aucun administrateur ne doit être en charge à la fois des opérations quotidiennes et de la sécurité d un système ou d une application. Idéalement, les administrateurs de la société d hébergement nécessitant un accès important aux données les plus sensibles d une entreprise devraient être dédiés au client en question et ne pas avoir accès aux données de la concurrence. Les organisations doivent également recevoir des informations de leur société d hébergement quant aux personnes ayant accès à leurs systèmes et à leurs données. Outre la vérification des antécédents, le pays dans lequel un employé est localisé peut avoir des conséquences non négligeables, dont l existence de lois susceptibles de restreindre les possibilités de contrôle de leurs actions par une entreprise. Comment mes systèmes et mes données sont-ils protégés? Les sociétés d hébergement doivent également disposer d une procédure documentée pour la gestion des droits d accès, y compris concernant les employés rejoignant ou quittant la société, et les changements de rôles. Ces procédures doivent impliquer la révocation immédiate des droits d accès dès qu ils ne sont plus nécessaires. Des audits réguliers doivent être effectués afin de s assurer que tous les droits correspondent aux rôles et besoins actuels. Une fois la question des accès sécurisés clarifiée, il est important de déterminer la façon dont les systèmes hébergeant vos informations les plus sensibles seront sécurisés et les données elles-mêmes contrôlées. La virtualisation est la véritable essence de tout environnement Cloud. Elle permet la création de charges de travail mobiles, qui peuvent fonctionner dans un environnement dynamique. C est pourquoi une virtualisation sécurisée est cruciale pour la sécurité d un environnement Cloud. Les organisations doivent également implémenter la gestion des identités à forts privilèges au niveau de l hyperviseur. Cependant, le contrôle des accès au conteneur n est qu une partie de la solution. Les fournisseurs doivent avoir une approche de sécurité centrée sur les données afin de protéger les informations quelle que soit la manière dont l accès aux applications et aux systèmes est contrôlé. En outre, une fois l accès aux données accordé, il faut surveiller l utilisation qui est faite de ces dernières. 6

7 Sécurisation des environnements virtuels Les outils de contrôle d accès peuvent être configurés afin de restreindre l accès à certaines machines virtuelles spécifiques sur la base des droits de chaque identité d administrateur de l hyperviseur. De la sorte, même dans un environnement partagé, seuls les administrateurs appropriés ont accès aux machines virtuelles d une organisation. Les contrôles de sécurité automatisés sont nécessaires au niveau de l hyperviseur en vue de la protection des différentes machines virtuelles. La nature flexible et dynamique d un environnement virtuel permet le déplacement, la suppression, la copie ou la modification de paramètres clés des machines, presque sans effort. Les contrôles de sécurité de l hyperviseur sont dès lors indispensables pour éviter la violation des exigences sécuritaires des différentes machines virtuelles lors de leur gestion. Par exemple, les machines virtuelles contenant des données PCI doivent être «étiquetées» afin que les administrateurs ne puissent pas les déplacer dans un environnement réseau non conforme. Pour le changement de paramètres de sécurité clés d une machine virtuelle, les étiquettes ou les règles d étiquettes doivent être modifiées. Cette étape supplémentaire réduit les risques d erreurs administratives dans la gestion des machines virtuelles. Sécurisation d environnements d hébergement multiclient Les services Cloud publics possèdent leurs propres défis en matière de sécurité et la manière d y répondre doit être adaptée en fonction tant du type de service Cloud que des exigences de sécurité des organisations. Toutefois, dans tous les cas de figure, une organisation doit prendre des mesures afin d assurer la sécurité de ses données vis-à-vis des tiers partageant les mêmes services : Illustration A. Représentation d un environnement d hébergement multiclient. 7

8 Dans un environnement Cloud d hébergement multiclient, les exigences en matière de sécurité sont déterminées en fonction du type de Cloud : Type de Cloud Description Niveau de sécurité Infrastructure à la demande (IaaS, Infrastructure as a Service) Plate-forme à la demande (PaaS, Platform as a Service) Logiciels à la demande (SaaS, Software as a Service) Les ressources d infrastructure sont partagées, y compris les serveurs physiques, les périphériques réseau et les bases de données (p. ex. Amazon EC2, RackSpace Cloud) Les services de plate-forme sont partagés (p. ex. Google App Engine, Microsoft Windows AzureTM, Force.com) Services d applications partagées (p. ex. Salesforce.com) Chaque client hébergé est généralement séparé au niveau de la machine virtuelle. Une société d hébergement peut utiliser un seul hyperviseur pour la gestion des machines virtuelles appartenant à différentes organisations. Afin de garantir la sécurité de ses machines virtuelles, une organisation doit implémenter la gestion des identités et des accès au niveau de l hyperviseur. Tout comme dans un Cloud privé, les outils de gestion des identités et des accès peuvent être configurés afin de restreindre l accès aux différentes machines virtuelles sur la base des paramètres de sécurité associés à chaque identité d hyperviseur afin que, même dans un environnement partagé, seuls les administrateurs appropriés aient accès aux machines virtuelles d une organisation. Chaque client hébergé partage des ressources à un niveau de plate-forme logicielle. Outre la sécurité de la virtualisation, les organisations doivent veiller à ce que leur société d hébergement suive les meilleures techniques éprouvées de gestion des identités à forts privilèges pour les utilisateurs administrant la plate-forme logicielle. La transparence étant souvent limitée dans un environnement SaaS, une organisation envisageant de recourir aux services d un fournisseur SaaS ne doit pas uniquement prendre en considération la couche de services d applications, mais aller plus loin afin de comprendre comment les outils de gestion des identités et des accès sont utilisés à chaque couche de l infrastructure, du matériel physique aux machines virtuelles, en passant par les plates-formes et les codes de sécurité. Dans tous les types de Cloud, les fournisseurs d hébergement ont désormais la possibilité de mettre des données d activité utilisateur à la disposition de leurs clients en tant que service, en vue de leur téléchargement dans les outils de sécurité internes du client. Cela aide les organisations ayant recours à l externalisation à comprendre qui accède à leurs données, tout en conservant des journaux d activité utilisateur afin de satisfaire les exigences d audit. Sécurisation des données Bien que le contrôle des identités et de l accès aux données sensibles soit capital, cette seule mesure ne suffit pas. La sensibilité des données se trouve au coeur des données elles-mêmes, quel que soit leur emplacement. De ce fait, même si le contrôle des données au niveau du conteneur offre une certaine sécurité, cela est insuffisant si les données quittent l enceinte de l entreprise ou du data center. Votre fournisseur doit vous proposer une approche de la sécurité incluant un aspect centré sur les données pour protéger efficacement les actifs sensibles d entreprise que vous externalisez. Vous réduisez de cette manière les risques liés à l externalisation et augmentez la mobilité de vos données tout en en conservant le contrôle au sein de l organisation. Les composants d une solution complète de sécurité centrée sur les données comprennent la classification, la prévention de la perte de données, le chiffrement et la gestion des droits relatifs à l information (IRM). 8

9 Vous devez aussi savoir comment la sécurité centrée sur les données est appliquée aux données au repos, en cours d accès, en cours d utilisation et en mouvement. Voici des exemples : Au repos : une fois les données migrées et stockées dans le réseau et les référentiels du fournisseur, elles doivent être dans la mesure du possible chiffrées. Certaines informations telles que les données PCI doivent obligatoirement être chiffrées tandis que d autres doivent l être en fonction de leur sensibilité pour la société. En cours d accès : lorsque des administrateurs ou des employés tentent d accéder à des informations sensibles, la sensibilité des données doit être prise en compte. L évaluation de la sensibilité des informations avant l octroi de l accès permet de prendre des décisions de contrôles d accès plus affinés. Par ailleurs, le chiffrement d informations protège l organisation contre les accès inappropriés dus à un contrôle des règles de conteneur inefficace. En cours d utilisation : lorsqu un utilisateur obtient l accès à des données, elles doivent être contrôlées sur le terminal. Des administrateurs accédant à des informations client sensibles ne doivent pas être en mesure de les copier sur une unité amovible ou de les imprimer sans autorisation. En mouvement : la manipulation des informations au sein du réseau doit également être contrôlée. Les rôles ayant accès aux données doivent être contrôlés de manière sélective sur la base de la sensibilité des données et du rôle. La possibilité d avertir, de bloquer ou de chiffrer des informations envoyées sur le réseau aide à surveiller de manière efficace la manipulation des informations. Quelles sont les données d activité qui sont consignées dans des journaux? Comme souvent en matière de sécurité, le choix du niveau correct d informations d activité à exiger de votre société d hébergement doit être soupesé minutieusement. Granularité : la transparence par rapport au coût Les identités peuvent être gérées et suivies dans une société d hébergement comme le feraient des employés internes dans un environnement Cloud privé. Il existe toutefois des avantages et des frais propres à chaque niveau de granularité : Niveau de granularité Description Transparence Groupes administratifs (p. ex. «Groupe d administration Linux») Rôles uniques (p. ex. «Administrateur Linux 1») Identités uniques (p. ex. «Tiers_ID15624» ou «Tiers_JohnSmith») Tous les droits et journaux d audit peuvent être surveillés au niveau du groupe par l organisation ayant recours à l externalisation. Des utilisateurs peuvent être ajoutés ou supprimés dans ces groupes par la société d hébergement à l insu de ses organisations clientes. L utilisateur associé à cette identité peut être modifié en cas de déplacement des ressources par le sous-traitant. La société d hébergement doit suivre le rôle de tous les utilisateurs à tout moment. Chaque utilisateur spécifique est associé à une seule identité. Les enregistrements des droits et des activités sont transmis par la société d hébergement à l organisation ayant recours à l externalisation. Le moins granulaire Plus granulaire Le plus granulaire 9

10 Le niveau de transparence doit être défini afin de répondre aux besoins tant du fournisseur de services Cloud que du client. Plus le fournisseur de services Cloud fournit d informations, plus la transparence et l auditabilité sont importantes, mais cela entraîne également une augmentation des efforts et des frais. Lorsque les organisations choisissent de se contenter de la transparence au niveau du groupe, elles doivent s assurer que la société d hébergement suit en interne les différents utilisateurs pour permettre la responsabilisation en cas de violation. Comment soutenez-vous la mise en conformité? La dernière question, et selon la société ou le secteur parfois la plus importante, est celle de la conformité. Les organisations attendent de leurs sous-traitants qu ils leur fournissent des outils et des rapports leur permettant d atteindre leurs objectifs de conformité. Outre les rapports disponibles et nécessitant un traitement spécifique, des rapports de conformité clés doivent être fournis immédiatement et contenir des informations en temps réel. Le fournisseur de services Cloud doit vous aider à rencontrer vos besoins réglementaires et doit dès lors mettre à disposition des fonctionnalités équivalentes à celles implémentées dans vos propres contrôles de conformité. Si vos contrôles sont matures et fonctionnent efficacement, vos exigences peuvent être plus facilement précisées à votre fournisseur de services Cloud. Si vos contrôles ne sont pas matures et sont sources de problèmes durant vos propres audits de conformité, le fournisseur de services Cloud dispose d une base moins forte concernant les exigences à respecter. Même si les données d activité sont collectées et si les données sont contrôlées de manière efficace, le reporting doit être assuré d une manière vous permettant d atteindre vos objectifs. Ces rapports doivent contenir des informations très sommaires pour les cadres supérieurs, mais aussi des informations détaillées à destination des auditeurs techniques. Bien que les exigences spécifiques puissent varier, une société d hébergement doit être à même de fournir des rapports sur les éléments suivants : L endroit où les données sont stockées (pays, ville, etc.) Le nom des personnes accédant aux données et les heures correspondantes (traçage des accès des identités spécifiques, pas seulement de comptes d administration partagés) Les données consultées (dont le type : informations de carte bancaire, informations médicales personnelles, etc.) Les modifications apportées aux données consultées (ont-elles été exportées hors du système ou traitées par une application?) Les sociétés d hébergement offrent de plus en plus des rapports répondant directement à certaines exigences spécifiques. De cette façon, les organisations ayant recours à l externalisation peuvent plus facilement retrouver des données dans les rapports et fournir des informations plus claires pour le contrôle de la conformité. En ayant des rapports spécifiquement adaptés aux différentes exigences et ayant été approuvés par des auditeurs, une organisation peut éliminer un niveau d interprétation laissé ouvert aux différents évaluateurs, réduisant ainsi les risques liés à la conformité. 10

11 Section 3 : Conclusions La demande de transparence dans les environnements Cloud hébergés se transforme rapidement en exigence du marché. Les organisations songeant à migrer vers un environnement Cloud doivent aujourd hui demander un niveau sans précédent de transparence dans leurs services Cloud et ne peuvent plus pour la sécurité se reposer uniquement sur des contrats et sur les certifications de leurs fournisseurs de services. En bref, il convient de faire confiance, tout en vérifiant. Lorsque la visibilité dans l environnement d une société d hébergement est limitée, l examen de leur infrastructure IAM n est pas nécessaire. Au moment de choisir un fournisseur de services Cloud, les organisations ne doivent plus accepter des assurances en matières de pratiques de sécurité, mais bien exiger d obtenir une vue d ensemble de l utilisation des identités au sein de la société d hébergement pour s assurer de la séparation adéquate des fonctions et des restrictions d accès à tous les niveaux de leur infrastructure. Les organisations réfractaires au risque peuvent vérifier que leurs sociétés d hébergement utilisent les outils actuels de gestion des identités et des accès pour permettre le Cloud Computing de façon cohérente avec leurs exigences de sécurité. Section 4 : Références 1 Gartner, Inc. ; Gartner s Top Predictions for IT Organizations and Users, 2012 and Beyond: Control Slips Away ; Darryl C. Plummer et al, 23 novembre Gartner, Inc. ; 2012 Planning Guide: Security and Risk Management ; Dan Blum et al; 1er novembre

12 Section 5 : À propos des auteurs Russell Miller travaille depuis plus de cinq ans dans le domaine de la sécurité des réseaux, et ce à différentes fonctions allant du piratage contrôlé au marketing produits. Il gère actuellement le marketing pour les produits de gestion des identités à forts privilèges et de sécurité de la virtualisation de CA ControlMinder. Russell est licencié en informatique du Middlebury College et titulaire d une maîtrise en administration des affaires de la MIT Sloan School of Management. Tyson Whitten possède un certificat de professionnel en sécurité des systèmes d information et plus de 10 années d expérience dans la sécurité des informations, la gestion d applications, les réseaux et les produits et services basés sur le risque. Il est actuellement en charge de la solution de protection des données et de la mobilité au sein de l unité Solutions de sécurité client de CA Technologies. Tyson a travaillé pour Genuity, Guardent, VeriSign et SecureWorks avant de rejoindre CA Technologies. Il est licencié en systèmes d information et titulaire d une maîtrise en gestion générale et de produits du Boston College. CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2012 CA. Tous droits réservés. Microsoft et Microsoft Windows Azure sont des marques commerciales ou déposées de Microsoft Corporation aux États-Unis et/ou dans d autres pays. Linux est la marque déposée de Linus Torvalds aux États-Unis et dans d autres pays. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages. CS2579_0712