Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14
Agenda Quelques définitions Les avantages du cloud Les risques Les contre-mesures possibles Retex SAFRAN
Safran Chiffres 2013 Un groupe international de haute technologie Un chiffre d affaires de 14,7 milliards d euros en 2013 67 000 collaborateurs dans + de 50 pays Plus de 12 % du CA consacré à la R&D Aéronautique et Espace (propulsion, équipements) AIRCELLE HERAKLES HISPANO-SUIZA LABINAL POWER SYSTEMS MESSIER-BUGATTI-DOWTY SNECMA TURBOMECA TECHSPACE AERO 79 % du CA Défense Sécurité SAGEM MORPHO 9 % du CA 10 % du CA
Définition du Cloud Selon le NIST (National Institute of Standards and Technology) : «L informatique en nuage offre un accès réseau universel, pratique et à la demande à un ensemble partagé de ressources informatiques configurables, telles que des réseaux, serveurs, systèmes de stockage, applications et services rapidement disponibles par le biais d un effort de gestion minimal ou d une interaction réduite de la part du prestataire de services». (2009)
modèle de service (1/2) Desktop-as-a-Service (DaaS), Metal-as-a-Service (MaaS) Communication-as-a-Service (CaaS) DisasterRecovery-as-a-Service (DRaaS) Everything-as-a-Service ou bien anything-as-a-service (XaaS). Le Cloud Computing se résume en : Services disponibles et accessibles à tous, instantanément, sans engagement et à la demande.
modèles de service (2/2) L infrastructure en tant que service: (Infrastructure as a Service : IaaS). Il s agit de serveurs, de bases de stockage, data centers et d autres équipements réseau tous virtualisés, et loués en tant que service à la demande. La plate-forme en tant que service: (Platform as a Service : PaaS) consiste en la mise à disposition de l utilisateur d un environnement de développement de ses applications où il pourra paramétrer des logiciels, tel que : gestion de site Web, gestion des services clients, etc. L application en tant que service: (Software as a Service : SaaS) consiste en la mise à disposition des applications par le fournisseur, tel que la sauvegarde à distance ou les boîtes de messagerie; paiement en ligne, etc.
Qui contrôle quoi? Burton Group : Cloud Computing Security in the Enterprise Jul. 2009 L entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Informatique interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau
Modèles de déploiement Public : quand un service est partagé et mutualisé entre de nombreux clients; Privé : quand le Cloud (interne ou externe) est dédié à un client; propriété de l entreprise Communautaire : quand le Cloud (interne ou externe) est partagé par des clients ayant les mêmes contraintes (légales, ); Hybride : quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.
Avantages (1/2) Flexibilité Il est possible d'adapter les moyens informatiques (espace de stockage, fonctionnalité, capacité de traitement ) en fonction de la demande et très rapidement à la hausse comme à la baisse. Réduction et rationalisation des coûts d'investissements et d'infrastructure récurrents Installation de l'infrastructure et des applicatifs. maintenance, exploitation des serveurs et des applications. Mise à jour transparente des composants applicatifs Les évolutions du produit sont réalisées par l'hébergeur. Chaque utilisateur bénéficie ainsi de la version la plus à jour du produit. Adapté au travail en mobilité Un accès internet suffit pour accéder à l'environnement de travail. Des services de support, surveillance des matériels, des accès, traitement des demandes et des incidents au travers de différents canaux (mails, téléphone, ) sont parmi les principaux services proposés par les hébergeurs.
Avantages (2/2) Utilisation plus efficace des ressources informatiques: Centres de données partagés, mutualisés et décentrés. Meilleur contrôle des documents Optimisation de la consommation d énergie et donc respect de l environnement: L'augmentation du volume de données et d'informations traitées sur Internet a une incidence significative sur l'environnement en termes de consommation d'énergie. Récupération des données Une étude menée par Aberdeen Group a montré que les entreprises qui utilisaient le cloud parvenaient à résoudre leurs problèmes en 2,1 heures en moyenne, soit presque quatre fois plus rapidement que les entreprises qui n'y avaient pas recours (8 heures). Collaboration accrue Une enquête menée par Frost & Sullivan a montré que les entreprises qui ont investi dans les technologies de collaboration ont bénéficié d'un retour sur investissement de 400 %. Compétitivité Les PME-PMI ont accès à des technologies utilisées par des multinationales Sécurité Disponibilité : redondance, récupération en cas de désastre Gestion automatisée de la sécurité L homogénéité du cloud simplifie l audit et le test de sécurité
Le cloud : moyen de simplification de la sécurité
Principales préoccupations sécuritaires du Cloud Computing La confidentialité, la sécurité et l intégrité des données sont-elles garanties?? De façon générale, l avenir est encore incertain en ce qui concerne la sécurité dans le Cloud Computing. Le Cloud Computing ne permet pas de garantir une confidentialité, une intégrité et une sécurité totales des données stockées. En outre, la localisation des serveurs de stockage est méconnue du client
Les questions à se poser Dans quel pays (ou quelle région) le fournisseur des services Cloud Computing est localisé? Est-ce que l infrastructure utilisée (Data centres) est située dans le même pays ou région? Est-ce que le fournisseur des services Cloud est autorisé à utiliser une infrastructure localisée en dehors du pays de la région du contrat? Où est ce que les données vont être physiquement hébergées? Est-ce la juridiction compétente pour le contrat de services est la même que celle applicable pour la protection des données? Est-ce que certains des services Cloud Computing offerts sont soustraités localement ou ailleurs? Quel va être le sort des données stockées dans le Cloud Computing à la fin du contrat?
Principales menaces selon CSA/HP 1. Abus et utilisation malveillante du cloud computing 2. Interfaces et API non sécurisés 3. Malveillances internes 4. Problèmes dus au partage de technologie 5. Perte ou fuite de données 6. Détournement de compte ou de service 7. Profil de risque inconnu CSA (Cloud Security Alliance) : Conseil de sécurité pour les principaux points d intérêt du cloud computing
Principales menaces selon ENISA 35 risques identifiés 4 catégories : 1. Risques politiques et organisationnels 2. Risques techniques 3. Risques juridiques 4. Risques non spécifiques au cloud ENISA: European Network and Information Security Agency
RISQUES LIES AU CLOUD La perte de gouvernance sur le traitement. La perte d auditabilité du prestataire due à une défaillance de gestion des soustraitants. La dépendance technologique vis-à-vis du fournisseur de Cloud Computing Une faille dans l isolation des données L exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA) Une faille dans la chaîne de sous-traitance, dans le cas où le prestataire a luimême fait appel à des tiers pour fournir le service. Le non-respect des règles de conservation et de destruction de l institution par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue Problèmes de gestion des droits d accès. Indisponibilité du prestataire = indisponibilité du service en lui-même mais aussi indisponibilité des moyens d accès au service (notamment les problèmes réseaux). La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers. Non-conformité réglementaire, notamment sur les transferts internationaux.
Recommandation Générale Comme pour toute externalisation de l'hébergement et de la conservation de données, il est important de mener en amont une étude de risques afin de définir le niveau de sécurité adapté pour chaque type de données, voire de déterminer si une donnée peut ou non être placée dans le nuage, tout en gardant à l'esprit le fait que la sécurité des données en interne n'est pas forcément meilleure et plus fiable que celle offerte par un prestataire de Cloud Computing.
Engagement du prestataire Le prestataire du Cloud Computing doit mettre en œuvre les moyens techniques, juridiques et organisationnels permettant d assurer le niveau de sécurité attendu par le client tout au long de la vie du contrat.
recommandations : ISO27002 et best practices Sécurité de base Politique, standards et directives Transparence Sécurité du personnel Fournisseurs tiers Recommandation ANSSI pour le choix d un hébergeur Considérations métiers Aspects juridiques Continuité d activité Mise à disposition de ressources
Contre-mesures possibles Défense en profondeur Assurance logicielle Sécurité du réseau Sécurité des hôtes et des machines virtuelles Gestion des identités et des accès Authentification forte Gestion des clés Chiffrement Sécurité d exploitation Sécurité physique du datacenter Alimentation et réseaux du datacenter Gestion des actifs du datacenter Pratiques opérationnelles Gestion des incidents
Conclusion Avantages certains Risques juridiques importants Importance des contrats Risques techniques classiques D autres risques liés directement à l hébergement externe mutualisé Exigences du prestataire de services du respect des bonnes pratiques en sécurité des SI la sécurité des accès logiques la sécurité des systèmes la sécurité du réseau La sécurité des données Rester à l écoute des travaux de CSA, NIST, ENISA et l ANSSI