Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Vers une nouvelle méthode dédiée à l’informatique en nuage Saadia Drissi, Hanan

Vers une nouvelle méthode dédiée à l’informatique en nuage Saadia Drissi, Hanane Houmani, Hicham Medromi Equipe architecture des systèmes (EAS) Laboratoire d’informatique, Systèmes et Energie Renouvelables (LISER) Université Hassan II Aïn Chock. ENSEM, BP . 8118, Oasis Casablanca, Maroc (saadia.drissi@gmail.com, hanane.houmani@ift.ulaval.ca, hmedromi@yahoo.fr) Résumé— Le Cloud Computing offre des avantages et plusieurs possibilités importantes pour les entreprises utilisatrices. En effet, il permet de réduire les investissements et les interventions de maintenance technique et applicative tout en profitant d’accès rapide et mobile à ses données hébergées de façon sécurisée en payant uniquement ce qui consommé. Pourtant, ces avantages sont freinés par l’existence des risques de sécurité, d’où l’importance d’utilisation d’une méthode de gestion des risques pour avoir une métrique à prévenir et gérer ses risques. Mais jusqu’à ce jour, il n’existe aucune méthode de gestion des risques dédiée à l’informatique en nuage. Cette communication aborde le thème des risques informatiques, pour but de palier les faiblesses relevées dans les méthodes de gestion des risques. Mots clés— Gestion des risque informatiques, cloud computing ou informatique en nuage, I. INTRODUCTION Le Cloud Computing ou l’informatique dans le nuage est l’une des technologies innovantes, qui permet d’héberger des ressources matérielles (serveurs) et logicielles (ERP, CRM, bases de données), chez un prestataire disposant d’une architecture orientée service, évolutive et puissante. Il existe plusieurs types de cloud computing classés selon leur utilisation :  SaaS : Software as a Service, le fournisseur maintient des applications que le client utilisé de manière totalement transparente. Par exemple, les applications Google (doc, reader, gmail, etc).  PaaS : Platform as a Service, le client maintient uniquement ses applications alors que le fournisseur maintient les serveurs et l'infrastructure logicielle (bases de données, sécurité, stockage).  IaaS : Infrastructure as a Service. On met à disposition des ressources composées par une infrastructure virtualisée, dont la plus grande partie est localisée à distance dans des Datacenters. En effet l’utilisation de l’informatique dans le nuage offre aux entreprises plusieurs possibilités importantes, tel que la réduction des couts d’exploitation pour le client, il permet aussi aux utilisateurs de se concentrer au métier et non au service informatique, grande puissance de calcul, mise à jour et évolutivité. Pourtant cette technologie entraine des risques. Le risque, c’est un éventuel problème qui ne s’est pas encore produit, qui existe avec ou sans Cloud, mais dans le cas du Cloud le risque augmente car la connexion des postes à internet, les exposent à un risque d’attaque ou à des violations de confidentialité. D’où l’importance d’utilisation des méthodes de gestion du risque liées à la sécurité des systèmes d’information , afin d’aider les entreprises soucieuses de leur sécurité à définir des barrières de protection, évaluer les risques et identifier les dangers induit par les systèmes d’information. En effet, ces méthodes de gestion du risque informatique sont nombreuses et leurs approches peuvent être différentes.il n’existe pas de bonne et de mauvaise méthode de management du risque SI, puisqu’il y a une grande multiplicité et diversité dans les activés et dans les approches de sécurité [1]. Parmi les méthodes les plus utilisées, à savoir EBIOS (expression des besoins et identifications des objectifs de sécurité), MEHARI (méthode harmonisée d’analyse des risque), OCTAVE (operationally critical threat,asset,and vulnerability evaluation) et CRAMM, et aussi la norme internationnale ISO/IEC 27005 qui traite la gestion des risques des systèmes d’information. Malgré l’existence de plusieurs outils de gestion des risques, le cloud computing manque de méthodes adéquates permettant de gérer efficacement ses risques. L’objectif de cette communication est d’étudier les déférentes méthodes de gestion des risques et de mettre en évidence les faiblesses, afin de leur proposer des solutions. II. ETAT DE L’ART Plusieurs méthodes utilisées pour la gestion des risques informatiques dans la littérature, Mais malgré la multiplicité et la diversité des méthodes, la plupart d’entre eux sont génériques (orientés MRE) ou spécifiques (orientés SSI), Pourtant, ils ne traitent pas les risques liés à la sécurité informatiques. 1 En effet, la gestion des risques liés au cloud est compliquée, par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entreprise. D’où l’importance d’utiliser une méthode de gestion des risques afin d’identifier les principaux risques liés au cloud [2]. Dans les sections qui suivent, nous présentons les méthodes de gestion des risques les plus utilisées pour mettre en oeuvre efficacement la norme ISO 27005, entre outre la méthode MEHARI, EBIOS, OCTAVE et aussi la méthode de NIST SP 800-30. En effet, ces méthodes permettent l’analyse des enjeux et les besoins de sécurité, elles constituent un vrai parcours d’analyse avec une démarche et des étapes à valider. Mais tout d’abord nous allons présenter la norme ISO/IEC 27005. A. La norme ISO 27005 L'ISO /IEC 27005 [3] (International Standardization Organization) explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information et aussi donne des lignes directrices pour gérer les risques en sécurité de l'information. La norme étaye les concepts généraux spécifiés dans l’ISO 27001, ce dernier permet d’identifier plus efficacement les risques mais il ne les réduit pas . Le processus de gestion du risque en sécurité de l'information se décompose comme suit : 1. Etablissement du contexte : permet de définir les critères d’évaluation, d’impact et d’acceptation. 2. Appréciation des risques : permet d’analyser et d’évaluer les risques afin de donner des priorités et les ordonnancer par rapport à leurs critères d'évaluation. 3. Traitement du risque : il s’agit d’un processus de sélection et de mise en œuvre des mesures. 4. Acceptation des risques : Il s’agit d’une homologation de sécurité effectuée par une autorité d’homologation désignée pour une durée déterminée. 5. Communication du risque : Il s’agit d’un échange et un partage régulier d’informations sur les risques. 6. Surveillance des risques : Il faut s'assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l'organisme. Cette norme ne donne aucune méthodologie spécifique. Il appartient à chaque organisation de préciser son approche, en fonction du périmètre du SMSI( système de management des systèmes d’information), du contexte de gestion du risque ou du secteur d’activité. B. La méthode MEHARI MEHARI [4] est utilisé pour aider les RSSI (Responsable de la Sécurité des Systèmes d’Information) dans leur tâche de management de la sécurité des systèmes d’information. MEHARI est avant tout une méthode d’analyse et de management des risques. En pratique, MEHARI est l’ensemble de ses bases de connaissances sont bâtis pour permettre une analyse précise des risques, quand cela sera jugé nécessaire, sans pour autant imposer l’analyse des risques comme une politique majeure de gestion. MEHARI est une démarche d’analyse des risques des systèmes d’information qui ne répond pas efficacement à plusieurs besoins à savoir la formalisation des expressions des besoins de sécurité et de TPE/PME. Donc elle reste une méthode potentiellement lourde. C. La méthode OCTAVE OCTAVE [5] (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une méthode d’évaluation des vulnérabilités et des menaces sur les actifs opérationnels. Ce sont ces actifs opérationnels et les pratiques de sécurité qui ont dirigé l’orientation de la méthode. Elle a également été conçue pour être menée par des membres internes à une organisation, sans faire appel à des spécialistes externes. Cette technique permet, par la même occasion, d’améliorer la connaissance de l’entreprise sur ses propres pratiques de sécurité. Pour être menée à bien elle suppose donc la composition d’une équipe d’analyse multidisciplinaire. Mais cette méthode de gestion des risques ne répond pas aux exigences métiers de chaque entreprise. D. La méthode EBIOS La méthode EBIOS [6] (Expression des Besoins et Identification des Objectifs de Sécurité), est une méthode d’appréciation et de traitement des risques, mais également un outil d’assistance à la maîtrise d’ouvrage. La méthode peut couvrir aussi bien un système déjà existant que s’inscrire dans une démarche d’amélioration. La démarche proposée par EBIOS apporte une vision globale et cohérente de la SSIC (Sécurité des Systèmes de l’Information et de la Communication). Elle fournit un vocabulaire et des concepts communs, elle permet d'être exhaustif et de déterminer des objectifs de sécurité adaptés au travers de cinq étapes. Elle permet aussi d’impliquer l’ensemble des acteurs du SI dans la problématique de sécurité. Cette méthode se décompose en 3 étapes :  L'étude du contexte : Le but de cette étape est de déterminer de façon précise et sans ambiguïté le système à concevoir ou existant, et aussi qui mettra en œuvre les mesures de sécurité, ainsi que le contexte d’utilisation de ce système.  L'expression des besoins de sécurité : Pour chaque fonction ou information répertoriée dans l’étape précédente, nous allons déterminer la sensibilité. Ces critères se basent sur l’impact que peut provoquer une altération de ces données, informations ou fonctions.  L'étude des risques : Le but de cette étape est d’identifier les risques qui pèseront sur le système parmi une liste de menaces générique et par une 2 liste de vulnérabilités associées aux menaces retenues. EBIOS c’est une méthode qui ne contient pas des recommandations sécuritaires et aussi elle ne peut uploads/Management/ gestion-de-risuqe-informatique.pdf