La sécurité des services informatiques "dans le nuage"(Cloud computing) est un sujet d'importance pour de nombreuses entreprises : L'agence européenne ENISA (European Network and Information Security Agency) ; centre d'expertise dans la sécurité des réseaux et de l'information en Europe ; a récemment publié un rapport "Cloud Computing Risk Assessment" de plus de 120 pages détaillant les enjeux que les services de type "Cloud computing" devront relever.Pour réagir à certains des "bénéfices sécurité" présentés :
- Le niveau de sécurité des service en mode "cloud' est mécaniquement plus important que des systèmes dispersés : Quelques plateformes homogènes sont plus faciles à sécuriser que X ou Y environnements différents et hétérogènes.
- Le niveau d'assurance sécurité que les prestataires de services "cloud" seront en mesure de présenter à leurs clients : Ne pas avoir ; lors des procédures d'appels d'offres ou de phases de négociations ; de standard ou de certifications sécurité de ses services peut être perçu comme un désavantage vis-à-vis de la concurrence. A contrario, la sécurité est explicitement identifiée comme un différenciateur fort entre fournisseurs qui devrait logiquement tirer le sujet vers le haut.
- De nouvelles opportunités clairement issues du "Cloud computing" : La possibilité d'industrialiser les environnements via des images de systèmes "endurcis" afin de bénéficier d'un très haut niveau de sécurité dès les premières secondes de vie d'un système ; ou encore via le système de création de "snapshots" de proposer des services facilitant les investigations sur incident/intrusion.
D'un autre coté, les zones de risques pointées du doigt sont aussi bien présentes, quelques exemples :
- Maitrise de la gouvernance sécurité : Lors du passage dans un mode "Cloud computing" le responsable sécurité de l'entreprise peut légitimement se considérer comme dépossédé de ses prérogatives de définition d'une stratégie de sécurité et sa déclinaison opérationnelle.
- Le "Locked-In syndrome" (verrouillage) Les difficultés de conserver la capacité à déplacer ses données et applications d'un prestataire vers un autre sont vues comme un risque car très peu de choses sont pensées dans cet esprit (bien que ce ne soit pas impossible, cf mon article "Data Liberation Front: Garder le contrôle de ses données dans le cloud Google).
- Perte d'isolation : Les techniques de virtualisation mises en œuvre dans les environnements "cloud" sont naturellement identifiées comme des sources de risque même si les attaques visant ces composants sont encore rares et considérées comme moins évidentes que celles visant les systèmes d'exploitation ou applicatifs.
- Compromission des interfaces de gestion : Les interfaces de gestion (ou les "espaces utilisateurs") mises à disposition des clients pour la gestion des services souscrits sont des points particulièrement sensibles. D'un coté on retrouve les difficultés récurrentes sur le développement sécurisé des applications, les vulnérabilités coté navigateurs et le risque inhérent des accès distants... le "Melting pot" est effectivement assez dangereux.
L'approche adoptée par l'ENISA est très intéressante : Le parti a été pris de mener des analyses de risques comparatives dans le cadre de la migration vers des services "Cloud computing" pour 3 contextes différents :
Une lecture fort intéressante et instructive. Bonne continuation !
- Le "Locked-In syndrome" (verrouillage) Les difficultés de conserver la capacité à déplacer ses données et applications d'un prestataire vers un autre sont vues comme un risque car très peu de choses sont pensées dans cet esprit (bien que ce ne soit pas impossible, cf mon article "Data Liberation Front: Garder le contrôle de ses données dans le cloud Google).
- Perte d'isolation : Les techniques de virtualisation mises en œuvre dans les environnements "cloud" sont naturellement identifiées comme des sources de risque même si les attaques visant ces composants sont encore rares et considérées comme moins évidentes que celles visant les systèmes d'exploitation ou applicatifs.
- Compromission des interfaces de gestion : Les interfaces de gestion (ou les "espaces utilisateurs") mises à disposition des clients pour la gestion des services souscrits sont des points particulièrement sensibles. D'un coté on retrouve les difficultés récurrentes sur le développement sécurisé des applications, les vulnérabilités coté navigateurs et le risque inhérent des accès distants... le "Melting pot" est effectivement assez dangereux.
L'approche adoptée par l'ENISA est très intéressante : Le parti a été pris de mener des analyses de risques comparatives dans le cadre de la migration vers des services "Cloud computing" pour 3 contextes différents :
- Société de type SME (Small/Medium Enterprise) - PME in french
- Impact sur des "Cloud computing" sur la résilience des services
- Migration de services institutionnels vers le on-line ("Gouvernement électronique")
Une lecture fort intéressante et instructive. Bonne continuation !
commenter