Sécurité et «Cloud computing»



Documents pareils
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

[ Sécurisation des canaux de communication

SafeNet La protection

Tableau Online Sécurité dans le cloud

La sécurité du «cloud computing» Le point de vue de Microsoft

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Panorama général des normes et outils d audit. François VERGEZ AFAI

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Spécifications de l'offre Surveillance d'infrastructure à distance

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

État Réalisé En cours Planifié

Faire le grand saut de la virtualisation

Guide de configuration de SQL Server pour BusinessObjects Planning

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Les principes de la sécurité

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

Fiche de l'awt La sécurité informatique

Le rôle Serveur NPS et Protection d accès réseau

Module 0 : Présentation de Windows 2000

Fiche méthodologique Rédiger un cahier des charges

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

Pour bien commencer avec le Cloud

Prestataire Informatique

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Préparer la synchronisation d'annuaires

Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

KASPERSKY SECURITY FOR BUSINESS

En savoir plus pour bâtir le Système d'information de votre Entreprise

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Déploiement, administration et configuration

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Symantec Control Compliance Suite 8.6

Concepts et définitions

Solutions McAfee pour la sécurité des serveurs

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

ITIL Mise en oeuvre de la démarche ITIL en entreprise

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

La protection de la vie privée à l'ère du «cloud computing» Le point de vue de Microsoft

Stratégie nationale en matière de cyber sécurité

Livre blanc Solution Foxit(R) PDF Security Suite intégrée à Microsoft(R) Active Directory(R) Rights Management Service

Bibliographie. Gestion des risques

Découvrir les vulnérabilités au sein des applications Web

Éditions QAD On Demand est disponible en trois éditions standard : QAD On Demand is delivered in three standard editions:

Avantages de l'archivage des s

Microsoft Dynamics AX 2012 Une nouvelle génération de système ERP

Chapitre 1 : Introduction aux bases de données

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Annexe de la fiche technique HP Datacenter Care - Flexible Capacity Service

Guide DinkeyWeb. DinkeyWeb solutions d authentification et de contrôle d accès WEB

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

VOLUME I ETUDES DE CAS RELATIFS A DES PROJETS DE PASSATION ELECTRONIQUE DE MARCHES PUBLICS

Sont assimilées à un établissement, les installations exploitées par un employeur;

Service Agreement CloudOffice powered by Office 365

Guide d'inscription pour obtenir un certificat ssl thawte

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland DOCUMENTS. Plus de. Plus de. Plus de.

COBIT (v4.1) INTRODUCTION COBIT

La gestion des risques en entreprise de nouvelles dimensions

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Sécurité. Tendance technologique

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES

Protéger les données critiques de nos clients

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Comprendre ITIL 2011

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Utiliser Access ou Excel pour gérer vos données

Méthodologie de résolution de problèmes

L'infonuagique, les opportunités et les risques v.1

CA ARCserve Backup r12

POLITIQUE SUR LA SÉCURITÉ LASER

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE

Cédric Gendre Inra, ESR Toulouse

Exercices Active Directory (Correction)

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Principes de liberté d'expression et de respect de la vie privée

Politique de sécurité de l actif informationnel

Nécessité de concevoir un catalogue de services lors du développement de services infonuagiques

Norme de la Chaîne de Traçabilité

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Transcription:

Sécurité et «Cloud computing» Roger Halbheer, conseiller en chef pour la sécurité, secteur public, EMEA Doug Cavit, conseiller principal pour la stratégie de sécurité, Trustworthy Computing, États-Unis Janvier 2010

1 Introduction Ce document passe en revue les principaux enjeux liés à la sécurité du «cloud computing» ainsi que ses avantages. Il relève également certaines des questions que les prestataires de services en nuage et leurs clients doivent se poser lorsqu'ils souhaitent adopter de nouveaux services ou développer ceux qu'ils utilisent déjà. Ce document s'adresse à un public familier des concepts clés du «cloud computing» et des principes de base de la sécurité du nuage. Son but n'est pas de répondre à toutes les questions relatives à la sécurité du nuage ni de proposer une solution de sécurité exhaustive. Questions clés sur la sécurité Comme chaque avancée technologique, le «cloud computing» apporte son lot de risques qu'il convient de prendre en compte avant de pouvoir bénéficier de tous les avantages de la solution. Les questions de gestion de la conformité et des risques, de gestion des identités et des accès, d'intégrité des services et des points de terminaison, ainsi que de protection des informations doivent être étudiées lors de l'évaluation, de l'implémentation, de la gestion et de la maintenance des solutions de «cloud computing». Gestion de la conformité et des risques : les entreprises qui font basculer une partie de leurs activités sur le nuage restent responsables de la conformité, de la sécurité et des risques liés à leurs opérations. Gestion des identités et des accès : les prestataires de services peuvent par exemple fournir des identités à leurs clients. Ces prestataires doivent ensuite pouvoir gérer les accès aux services en nuage via leur infrastructure et permettre une collaboration sans contrainte de frontière. Intégrité des services : les services basés sur le nuage doivent être conçus et exécutés avec pour priorité la sécurité, tandis que les processus opérationnels doivent être intégrés au système de gestion de la sécurité de l'entreprise. Intégrité des points de terminaison : puisque les services basés sur le nuage sont demandés puis consommés sur site, la sécurité, la conformité et l'intégrité du point de terminaison doivent être scrupuleusement étudiées. Protection des informations : les services en nuage requièrent des processus fiables de protection des informations avant, pendant et après la transaction. Bien qu'ils offrent de nombreux avantages potentiels, les services fournis par le biais du «cloud computing» peuvent également créer de nouvelles problématiques, dont certaines ne sont pas encore totalement comprises. En adoptant un service en nuage, les entreprises informatiques doivent par exemple s'adapter au fait que la gestion des données n'est plus sous leur contrôle direct. Ceci est notamment vrai dans le cas d'un «modèle hybride», dans lequel une partie des processus est effectuée sur site et l'autre partie sur le nuage, requérant ainsi la mise en place de processus de sécurité nouveaux et étendus qui prennent en charge de multiples prestataires de services et assurent une protection complète des informations. La gestion des risques et de la sécurité reste sous la responsabilité de l'entreprise consommant les services en nuage, et doit être étendue pour inclure les prestataires de ces services.

2 Des stratégies bien définies autour des cinq questions susmentionnées 1 ainsi qu'une infrastructure solide de services garantiront que les services implémentés fournissent des fonctions de «cloud computing» qui respectent les exigences de sécurité et commerciales de l'entreprise. Gestion de la conformité et des risques Une entreprise dotée d'un système informatique sur site a le contrôle total de la conception et de l'exécution de son environnement. Dans le cas d'un nuage «hors site» (exécuté par un système non géré et non possédé par l'entreprise), cette responsabilité est déléguée au prestataire des services en nuage. Émergent alors de nouveaux défis, uniques en leur genre, comme par exemple la Les exigences de conformité peuvent être respectées grâce à une équipe interne compétente et à un certain niveau de transparence des processus assuré par les prestataires de services en nuage. délégation d'une partie des processus clés de gestion de la conformité et des risques de l'entreprise au prestataire de services en nuage. Une telle délégation n'entraîne en aucun cas la déresponsabilisation de l'entreprise informatique quant à ses tâches de gestion de la conformité et des risques. Qui plus est, les prestataires de services en nuage indiquent souvent explicitement dans leurs contrats qu'ils ne sont pas responsables des tâches liées à la conformité. Autrement dit, l'entreprise est et demeure responsable de sa mise en conformité réglementaire par le biais de ses propres processus métier. L'acquisition de services en nuage pour l'intégration et/ou la distribution des tâches de gestion de la conformité et des risques nécessite que les prestataires de ces services assurent leurs opérations avec un certain niveau de transparence. Cependant, trouver le juste équilibre entre transparence et confidentialité du prestataire constitue un réel défi. La transparence est un élément essentiel pour établir une relation de confiance avec les prestataires de services et maximiser la capacité des entreprises à respecter leurs obligations légales. Ainsi, le client doit disposer d'un niveau de transparence suffisamment important pour prendre des décisions optimales (ce niveau varie en fonction de la sensibilité des données à protéger) et suffisamment encadré pour permettre au prestataire d'assurer la protection de ses systèmes et processus propriétaires. Lorsque l'équipe interne de l'entreprise dispose d une réelle visibilité sur les opérations du prestataire de services en nuage, elle peut intégrer les données extraites dans son propre environnement de gestion de la sécurité, de la conformité et des risques. Du fait de son expertise et de sa connaissance complète des exigences de conformité qui pèsent sur l'entreprise, cette équipe doit être présente à chaque négociation de contrat avec tout prestataire de services en nuage. Au cours de la planification des services, l'entreprise doit analyser d'autres questions de logistique pour les opérations futures. Il peut s'agir de questions telles que : l'entreprise garde-t-elle le pouvoir de faire revenir une partie ou la totalité du service sur site dans le futur ou de transférer une partie ou la totalité du service vers un prestataire de services en nuage différent? Quels sont les coûts associés à un tel changement? Comment l'entreprise peut-elle s'assurer que les données (y compris les sauvegardes) stockées dans l'infrastructure du prestataire sont complètement supprimées? Quelle garantie d'accès au données conserve l'entreprise en cas de conflit avec le prestataire? 1 Ceci n'est qu'un échantillon des questions à étudier. Davantage de détails et de conseils sur le «cloud computing» figurent dans les documents rédigés par The Cloud Security Alliance et l'enisa.

3 Gestion des identités et des accès Les services basés sur le nuage requièrent des fonctions de collaboration interfonctionnelles sécurisées ainsi qu'un système de protection contre l'utilisation abusive des identités des personnes Tout système de gestion des identités numériques sur le nuage doit être interopérable entre plusieurs entreprises et prestataires et reposer sur des processus fiables. et des périphériques. Les systèmes de contrôle des identités et des accès, notamment ceux dédiés aux actifs à forte valeur ajoutée, doivent se baser sur une infrastructure qui utilise des informations d'identification personnelles et à chiffrement fort. Ces informations d'identification permettent l'exécution d'un système de contrôle des accès basé sur les déclarations, qui identifie les déclarations effectuées par toutes les entités du système. La puissance de ce système d'authentification doit être équilibrée de façon raisonnable avec le besoin de confidentialité des utilisateurs du système. Pour arriver à un tel équilibre, le système doit permettre de transférer et de vérifier les déclarations sensibles sans révéler plus d'informations que nécessaire pour toute transaction ou connexion au sein du service. La gestion sécurisée des identités est critique dans les environnements de toute sorte, mais peut prendre une dimension plus complexe dans un modèle de «cloud computing». Les divers prestataires qui fournissent des déclarations d'identité pour leurs services en nuage et les différents processus qu'ils utilisent doivent être compris et validés comme fiables. Le transfert de services vers le nuage suscite plusieurs questions : qui est le détenteur de l'identité? Quels contrôles encadrent la gestion des identités et des accès? L'entreprise peut-elle changer de prestataire de déclarations d'identité? Quelles sont les différences entre les méthodes de gestion des identités de chaque prestataire? De quelle manière l'authentification et les autorisations sont-elles liées à l'identité? Comment la collaboration ad hoc avec un partenaire tiers utilisant un fournisseur d'identité différent est-elle possible? Les environnements de gestion des identités doivent être compatibles avec les applications traitant des réclamations d'identité et être capables d'assurer la migration sécurisée des données de contrôle d'accès entre le nuage et le système du client ou du prestataire. Ces environnements doivent également permettre la gestion des identités dans l'ensemble de l'entreprise et de chaque identité individuellement. Les systèmes de certification et de réputation jouent un rôle important auprès des fournisseurs d'identités : ils aident les clients à comprendre les niveaux de sécurité maximum que peut assurer chaque fournisseur. Dans cette optique, un système de gestion des identités numériques offrant une authentification à chiffrement fort et des fonctions interopérables de validation des déclarations sur site ou sur le nuage pourraient considérablement améliorer la sécurité et l'intégrité des données. Intégrité des services L'intégrité des services comprend deux composantes : 1) l'ingénierie et le développement de services, et 2) la prestation de services. L'ingénierie et le développement de services englobe les méthodes qu'utilise le prestataire pour garantir la sécurité et la confidentialité à tous les stades de développement. La prestation de services, quant à elle, couvre la façon dont le service est géré et exécuté pour respecter les niveaux contractuels de fiabilité et de support.

4 Ingénierie et développement de services Les entreprises qui développent des logiciels doivent suivre un processus d'ingénierie et de développement spécifique pour intégrer les fonctions de sécurité et de confidentialité dans leurs Le prestataire doit suivre un processus clair, défini et auditable pour assurer la sécurité et la confidentialité de ses services dès leur conception et pendant toute leur durée de vie. produits. L'ingénierie et le développement dans le cadre d'un environnement de «cloud computing» n'échappent pas à la règle, et nécessitent même des niveaux de sécurité et de confidentialité plus élevés, que ces application et logiciels soient édités par l équipe de développement d'une entreprise, par le prestataire de services en nuage ou par des tiers. Bien que les prestataires de services en nuage soient à même de proposer une expertise de sécurité consolidée, il est également important de s'assurer que la préservation de la sécurité et de la confidentialité est au centre de leurs processus de développement et de maintenance. Microsoft a adopté le cycle de vie de développement de la sécurité (ou SDL, Security Development Lifecycle) pour le développement de ses applications et a optimisé les étapes décrites ci-dessous pour les appliquer aux environnements de «cloud computing». Exigences. Le but principal de cette étape est d'identifier les objectifs clés de sécurité pour obtenir le niveau de sécurité maximal tout en limitant les interruptions qui pourraient nuire à l'utilisation du logiciel ainsi qu'aux projets et plannings du client. Conception. Lors de cette étape, il est nécessaire de documenter les risques potentiels d'attaque et de modéliser les menaces. Implémentation. Au cours de cette étape, l'équipe de développement doit s'assurer qu'elle a bien respecté les normes de codage spécifiques et qu'il n'existe aucune vulnérabilité dans le code du logiciel en le testant grâce à des outils d'analyse. Vérification. Au cours de cette étape, l'équipe doit s'assurer que le code répond à toutes les exigences de sécurité et de confidentialité établies dans les étapes précédentes. L'équipe doit également procéder à une vérification des fonctions de confidentialité du logiciel avant sa distribution au public. Distribution. Une dernière vérification des fonctions de sécurité est menée à cette étape. Cette vérification permet de déterminer si le produit répond à toutes les exigences de sécurité standard et aux exigences de sécurité spécifiques au projet avant qu'il ne soit commercialisé. Réponse. Une fois le logiciel commercialisé, un groupe de sécurité doit être constitué par le prestataire de services, dont la mission est d'identifier, de surveiller, de résoudre et de répondre à chaque incident de sécurité et à tout problème de vulnérabilité des logiciels Microsoft détecté. Le prestataire de services doit également mener un processus de distribution des mises à jours de sécurité à l'échelle de l'entreprise et constituer le point central de coordination et de communication.

5 Lors de l'évaluation d'un prestataire de services en nuage, il est nécessaire de le questionner sur les spécificités de la sécurité de son processus de développement. Celui-ci doit refléter chacune des étapes génériques susmentionnées ; celles-ci sont en effet critiques pour la sécurité globale du processus de développement. La discussion doit également porter sur les actions concrètes issues de ce processus de sécurité, comme par exemple la fréquence à laquelle les modèles de risque sont mis à jour, le champ d'action du groupe de sécurité, la manière dont le client est informé des mises à jour de sécurité, etc. Prestation de services Si une entreprise transfère les processus critiques de son activité vers un modèle de «cloud computing», elle doit transformer ses processus de sécurité internes pour permettre aux Les capacités du prestataire de services doivent être alignées sur les besoins de sécurité et d'audit du client. prestataires de services d'y contribuer. Parmi ces processus, sont inclus la surveillance de sécurité, l'audit, les études approfondies, les réponses aux incidents et la continuité des activités. Les détails de cette collaboration doivent être définis au cours des discussions préliminaires à la prestation entre le client et le prestataire de services en nuage, et prendre en compte les besoins de chacune des parties. Si, pour certaines applications ou certains services, les exigences de sécurité sont simples à définir et à appliquer, d'autres types de services (tels que ceux qui mettent en jeu des actifs à forte valeur ajoutée), doivent satisfaire des exigences beaucoup plus sévères. Il s'agit notamment des exigences de sécurité physique, des fonctions de journalisation complémentaires et des vérifications plus approfondies de la fiabilité des administrateurs. Tous les contrats de prestation de services en nuage doivent inclure un plan détaillé pour la gestion des problèmes de performance et l'analyse approfondie des réseaux et images. Ils doivent également comprendre les coordonnées des personnes à contacter en cas d'interruption de la prestation ainsi que les procédures de restauration. Enfin, ces contrats doivent définir clairement les tâches de surveillance et d'audit qui devront être réalisées par le prestataire et le tarif correspondant. Intégrité des points de terminaison Les discussions inhérentes à la sécurité du nuage se concentrent souvent davantage sur le service Il est très important d'inclure les points de terminaison dans toutes les questions de sécurité relatives aux services en nuage. en lui-même ainsi que sur les pratiques et les niveaux de sécurité assurés par le prestataire. Cependant, toute négligence dans la prise en compte de l'intégralité de la chaîne de prestation peut entraîner des défaillances dans la conception et la prestation du service. Les services en nuage sont déclenchés et terminés au sein de l'entreprise ou sur le PC ou le périphérique de l'employé qui les consomme. Bien souvent, lorsque la sécurité d'une entreprise est menacée, le problème survient sur des stations de travail individuelles et non sur les serveurs principaux. Pour assurer la fiabilité complète des services de «cloud computing», l'intégralité des activités doivent être prises en compte. Ainsi, les utilisateurs seront protégés contre toutes sortes de menaces, dont l'usurpation d'identité, les attaques par piratage de site Web, les attaques par hameçonnage et le téléchargement de logiciels malveillants.

6 Pour protéger leurs points de terminaison et gérer la sécurité de leurs informations, la plupart des entreprises disposent aujourd'hui de programmes internes de gestion des risques bridés. En outre, leur infrastructure est parfaitement comprise et visible à tous les niveaux de l'environnement. Il n'en va pas de même dans un environnement de «cloud computing». En effet, les approches et les mesures de sécurité doivent être adaptées car les services en nuage peuvent dépendre de plusieurs prestataires qui n'offrent pas le même niveau de visibilité. Il est très important de comprendre comment les différents services s'imbriquent et sont consommés à travers les nombreux points de terminaison d'une même entreprise. Si la sécurité des points de terminaison doit être assurée par le prestataire, certaines questions cruciales doivent être posées : de quelle manière sont appliquées les exigences de sécurité et de conformité? De quelle manière les données sont-elles protégées contre une utilisation abusive? Le client aura-t-il toujours la possibilité d'utiliser des mécanismes de chiffrement ou de gestion des droits pour se protéger contre la perte ou le vol de données? Le service peut-il être accessible uniquement sur des machines ou des points de terminaison spécifiques? Protection des informations La sensibilité des données impliquées dans un service constitue un facteur critique pour déterminer si ce service peut être géré par un prestataire, et, le cas échéant, à quel niveau de contrôle le L'implémentation d'une classification des données permet de déterminer les données qui peuvent êtres transmises sur le nuage, dans quelles circonstances et sous quel niveau de contrôle. service sera soumis pour garantir le respect des exigences de conformité tout au long de la transaction. Pour prendre ces décisions, les entreprises peuvent adopter une approche solide de classification des données, qui leur permettra d'identifier les groupes de données liés à la transaction et de déterminer les mécanismes de contrôle à appliquer en fonction des circonstances. Les entreprises doivent être libres de choisir jusqu'à quel degré leurs données peuvent être gérées et manipulées, où qu'elles soient stockées et quel que soit le moyen par lequel elles sont transférées. Cette règle de base s'applique également aux environnements sur site actuels. De plus, il est important de prendre conscience des nombreux défis inhérents à la prestation de services en nuage, notamment la souveraineté des données, l'accès aux informations et le partitionnement et le traitement des données. Au fil des années, de nombreuses réglementations ont été développées dans le domaine de la protection des données. Ces réglementations divergent selon les juridictions (espace ou territoire dans lequel les réglementations sont en vigueur). Avec l'apparition du «cloud computing», les données peuvent être stockées en dehors de leur territoire d'origine, voire dans plusieurs territoires. L'hébergement de données en dehors de la juridiction du client ou sur plusieurs sites peut être synonyme de problèmes de gestion et d'accès liés à la question de l'appartenance des données (à un individu ou une entité). Certains des services en nuage offerts aujourd'hui visent à surmonter ces défis en autorisant les clients à choisir où leurs données doivent être stockées physiquement. Lorsque la gestion et le contrôle des informations passent dans d'autres mains, les entreprises peuvent perdre leur capacité à protéger, à récupérer et à transférer leurs informations. Il est donc important de comprendre qui contrôle le système d'identification et d'autorisations qui permet d'accéder aux informations, où les données de sauvegarde sont stockées, si le chiffrement des données est pris en charge, combien coûte la solution de chiffrement (par ex. la perte de fonction)

7 et comment l'accès aux données est accordé et géré en cas de conflit avec le prestataire de services. Par exemple, le contrat inclut-il des clauses interdisant au prestataire de services de conserver les données dès lors que le service est annulé? Enfin, si des données sont stockées dans un «nuage public», il est possible qu'elles résident sur des infrastructures utilisées également par d'autres entreprises. Dans ce cas, des mesures strictes de protection des données peuvent être appliquées pour s'assurer que les données sont partitionnées et traitées de façon appropriée. Avant de transférer leurs données sur le nuage, il est important que les entreprises comprennent qui a accès à leurs données et qu'elles sachent si ce risque est acceptable. Elles doivent également avoir une bonne visibilité sur l'architecture du prestataire de services en nuage et sur les méthodes employées pour protéger les machines virtuelles partagées contre les diverses formes d'attaques potentielles émanant d'autres machines virtuelles exécutées sur le même matériel par des individus malveillants. Conclusion Pour pouvoir tirer parti de tous les avantages offerts par le «cloud computing», plusieurs éléments de sécurité doivent être analysés : les processus, les compétences, la technologie et les mécanismes de contrôle. De plus, les entreprises souhaitant utiliser des services en nuage doivent prendre en compte les aspects pratiques suivants : Un programme parfaitement fonctionnel de mise en conformité pour les identités, les données et les périphériques doit être déployé avant d'adopter des services en nuage. Un système de classification des données constitue un élément clé pour l'évaluation des risques et la décision finale d'adoption ou non du «cloud computing». Ainsi, les données à faible risque peuvent être injectées dans le nuage avec moins de risque que les données à fort impact, qui nécessitent des contrôles de sécurité et de confidentialité plus stricts. Le choix du modèle de déploiement (privé, communautaire ou public) doit se baser sur la classification des données, les exigences de sécurité et de confidentialité ainsi que sur les besoins métier. Une fois le «cloud computing» totalement intégré aux processus de l'entreprise, celle-ci a encore besoin d'une équipe interne efficace pour gérer les exigences de sécurité et de conformité en collaboration avec le ou les prestataires de services en nuage. La transparence, les mécanismes de mise en conformité et les capacités d'audit constituent des critères clés pour l'évaluation des prestataires de services en nuage. Les entreprises doivent implémenter une méthodologie de cycle de vie de développement de la sécurité dédiée aux applications hébergées sur le nuage et pouvoir évaluer le degré d'adhésion du prestataire de services en nuage à un processus similaire. Les noms d'utilisateur et mots de passe habituellement utilisés dans les systèmes de gestion des accès doivent être remplacés par des informations d'identification robustes. Un système de contrôle du cycle de vie des informations doit être mis en place pour en autoriser l'accès à certaines personnes uniquement, en fonction de périodes prédéfinies et ce, quelle que soit la provenance des données.

8 Le contrôle des accès aux données doit être géré au-delà des limites de l'entreprise, entre les différents départements, fournisseurs externes, gouvernements et clients. Une telle amplitude ne doit pas nuire à la gestion des accès et ce, même lorsqu'un client ne gère pas directement l'identité ni les informations d'authentification. Documentation connexe Cloud Security Alliance Guide de sécurité pour les domaines critiques du «Cloud computing» (en anglais) : http://www.cloudsecurityalliance.org/csaguide.pdf ENISA Structure de protection des informations du «cloud computing» (en anglais) : http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assuranceframework/ Sécurisation de l'infrastructure en nuage de Microsoft (en anglais) http://www.globalfoundationservices.com/security/documents/securingthemscloudmay09.pdf Questions de sécurité pour les applications clientes et en nuage (en anglais) http://go.microsoft.com/?linkid=9704049 Sécurité de la suite Business Productivity Online Suite de Microsoft Online Services http://go.microsoft.com/?linkid=9671260

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back