Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité et « Cloud computing » Roger Halbheer, conseiller en chef pour la sécu

Sécurité et « Cloud computing » Roger Halbheer, conseiller en chef pour la sécurité, secteur public, EMEA Doug Cavit, conseiller principal pour la stratégie de sécurité, Trustworthy Computing, États-Unis Janvier 2010 1 © 2010 Microsoft Corporation. Tous droits réservés. Introduction Ce document passe en revue les principaux enjeux liés à la sécurité du « cloud computing » ainsi que ses avantages. Il relève également certaines des questions que les prestataires de services en nuage et leurs clients doivent se poser lorsqu'ils souhaitent adopter de nouveaux services ou développer ceux qu'ils utilisent déjà. Ce document s'adresse à un public familier des concepts clés du « cloud computing » et des principes de base de la sécurité du nuage. Son but n'est pas de répondre à toutes les questions relatives à la sécurité du nuage ni de proposer une solution de sécurité exhaustive. Questions clés sur la sécurité Comme chaque avancée technologique, le « cloud computing » apporte son lot de risques qu'il convient de prendre en compte avant de pouvoir bénéficier de tous les avantages de la solution. Les questions de gestion de la conformité et des risques, de gestion des identités et des accès, d'intégrité des services et des points de terminaison, ainsi que de protection des informations doivent être étudiées lors de l'évaluation, de l'implémentation, de la gestion et de la maintenance des solutions de « cloud computing ».  Gestion de la conformité et des risques : les entreprises qui font basculer une partie de leurs activités sur le nuage restent responsables de la conformité, de la sécurité et des risques liés à leurs opérations.  Gestion des identités et des accès : les prestataires de services peuvent par exemple fournir des identités à leurs clients. Ces prestataires doivent ensuite pouvoir gérer les accès aux services en nuage via leur infrastructure et permettre une collaboration sans contrainte de frontière.  Intégrité des services : les services basés sur le nuage doivent être conçus et exécutés avec pour priorité la sécurité, tandis que les processus opérationnels doivent être intégrés au système de gestion de la sécurité de l'entreprise.  Intégrité des points de terminaison : puisque les services basés sur le nuage sont demandés puis consommés sur site, la sécurité, la conformité et l'intégrité du point de terminaison doivent être scrupuleusement étudiées.  Protection des informations : les services en nuage requièrent des processus fiables de protection des informations avant, pendant et après la transaction. Bien qu'ils offrent de nombreux avantages potentiels, les services fournis par le biais du « cloud computing » peuvent également créer de nouvelles problématiques, dont certaines ne sont pas encore totalement comprises. En adoptant un service en nuage, les entreprises informatiques doivent par exemple s'adapter au fait que la gestion des données n'est plus sous leur contrôle direct. Ceci est notamment vrai dans le cas d'un « modèle hybride », dans lequel une partie des processus est effectuée sur site et l'autre partie sur le nuage, requérant ainsi la mise en place de processus de sécurité nouveaux et étendus qui prennent en charge de multiples prestataires de services et assurent une protection complète des informations. La gestion des risques et de la sécurité reste sous la responsabilité de l'entreprise consommant les services en nuage, et doit être étendue pour inclure les prestataires de ces services. 2 © 2010 Microsoft Corporation. Tous droits réservés. Des stratégies bien définies autour des cinq questions susmentionnées1 ainsi qu'une infrastructure solide de services garantiront que les services implémentés fournissent des fonctions de « cloud computing » qui respectent les exigences de sécurité et commerciales de l'entreprise. Gestion de la conformité et des risques Une entreprise dotée d'un système informatique sur site a le contrôle total de la conception et de l'exécution de son environnement. Dans le cas d'un nuage « hors site » (exécuté par un système non géré et non possédé par l'entreprise), cette responsabilité est déléguée au prestataire des services en nuage. Émergent alors de nouveaux défis, uniques en leur genre, comme par exemple la délégation d'une partie des processus clés de gestion de la conformité et des risques de l'entreprise au prestataire de services en nuage. Une telle délégation n'entraîne en aucun cas la déresponsabilisation de l'entreprise informatique quant à ses tâches de gestion de la conformité et des risques. Qui plus est, les prestataires de services en nuage indiquent souvent explicitement dans leurs contrats qu'ils ne sont pas responsables des tâches liées à la conformité. Autrement dit, l'entreprise est et demeure responsable de sa mise en conformité réglementaire par le biais de ses propres processus métier. L'acquisition de services en nuage pour l'intégration et/ou la distribution des tâches de gestion de la conformité et des risques nécessite que les prestataires de ces services assurent leurs opérations avec un certain niveau de transparence. Cependant, trouver le juste équilibre entre transparence et confidentialité du prestataire constitue un réel défi. La transparence est un élément essentiel pour établir une relation de confiance avec les prestataires de services et maximiser la capacité des entreprises à respecter leurs obligations légales. Ainsi, le client doit disposer d'un niveau de transparence suffisamment important pour prendre des décisions optimales (ce niveau varie en fonction de la sensibilité des données à protéger) et suffisamment encadré pour permettre au prestataire d'assurer la protection de ses systèmes et processus propriétaires. Lorsque l'équipe interne de l'entreprise dispose d’une réelle visibilité sur les opérations du prestataire de services en nuage, elle peut intégrer les données extraites dans son propre environnement de gestion de la sécurité, de la conformité et des risques. Du fait de son expertise et de sa connaissance complète des exigences de conformité qui pèsent sur l'entreprise, cette équipe doit être présente à chaque négociation de contrat avec tout prestataire de services en nuage. Au cours de la planification des services, l'entreprise doit analyser d'autres questions de logistique pour les opérations futures. Il peut s'agir de questions telles que : l'entreprise garde-t-elle le pouvoir de faire revenir une partie ou la totalité du service sur site dans le futur ou de transférer une partie ou la totalité du service vers un prestataire de services en nuage différent ? Quels sont les coûts associés à un tel changement ? Comment l'entreprise peut-elle s'assurer que les données (y compris les sauvegardes) stockées dans l'infrastructure du prestataire sont complètement supprimées ? Quelle garantie d'accès au données conserve l'entreprise en cas de conflit avec le prestataire ? 1 Ceci n'est qu'un échantillon des questions à étudier. Davantage de détails et de conseils sur le « cloud computing » figurent dans les documents rédigés par The Cloud Security Alliance et l'ENISA. Les exigences de conformité peuvent être respectées grâce à une équipe interne compétente et à un certain niveau de transparence des processus assuré par les prestataires de services en nuage. 3 © 2010 Microsoft Corporation. Tous droits réservés. Gestion des identités et des accès Les services basés sur le nuage requièrent des fonctions de collaboration interfonctionnelles sécurisées ainsi qu'un système de protection contre l'utilisation abusive des identités des personnes et des périphériques. Les systèmes de contrôle des identités et des accès, notamment ceux dédiés aux actifs à forte valeur ajoutée, doivent se baser sur une infrastructure qui utilise des informations d'identification personnelles et à chiffrement fort. Ces informations d'identification permettent l'exécution d'un système de contrôle des accès basé sur les déclarations, qui identifie les déclarations effectuées par toutes les entités du système. La puissance de ce système d'authentification doit être équilibrée de façon raisonnable avec le besoin de confidentialité des utilisateurs du système. Pour arriver à un tel équilibre, le système doit permettre de transférer et de vérifier les déclarations sensibles sans révéler plus d'informations que nécessaire pour toute transaction ou connexion au sein du service. La gestion sécurisée des identités est critique dans les environnements de toute sorte, mais peut prendre une dimension plus complexe dans un modèle de « cloud computing ». Les divers prestataires qui fournissent des déclarations d'identité pour leurs services en nuage et les différents processus qu'ils utilisent doivent être compris et validés comme fiables. Le transfert de services vers le nuage suscite plusieurs questions : qui est le détenteur de l'identité ? Quels contrôles encadrent la gestion des identités et des accès ? L'entreprise peut-elle changer de prestataire de déclarations d'identité ? Quelles sont les différences entre les méthodes de gestion des identités de chaque prestataire ? De quelle manière l'authentification et les autorisations sont-elles liées à l'identité ? Comment la collaboration ad hoc avec un partenaire tiers utilisant un fournisseur d'identité différent est-elle possible ? Les environnements de gestion des identités doivent être compatibles avec les applications traitant des réclamations d'identité et être capables d'assurer la migration sécurisée des données de contrôle d'accès entre le nuage et le système du client ou du prestataire. Ces environnements doivent également permettre la gestion des identités dans l'ensemble de l'entreprise et de chaque identité individuellement. Les systèmes de certification et de réputation jouent un rôle important auprès des fournisseurs d'identités : ils aident les clients à uploads/Management/ livre-blanc-securite-et-cloud-computing.pdf