Le Cloud et la sécurité

Le Cloud Computing : solution miracle aux problématiques de sécurité des entreprises ?

On entend régulièrement des propos étranges sur la sécurité du Cloud Public. Il y a encore peu de temps, la majorité des enquêtes au niveau des DSI et de dirigeants d'entreprises indiquaient que la sécurité était le principal frein à l’adoption du Cloud.

Depuis cette fin d'année 2015, il semble que cela soit devenu le contraire et que le Cloud devienne la solution de sécurité pour les entreprises :

• Tout d'abord, lors des Assises de la sécurité à Monaco en octobre 2015, Guillaume Poupard, le directeur général de l’ANSSI a évoqué dans son discours : “Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité.  ».
• En parallèle, Tony Scott, DSI du gouvernement américain affirme en octobre 2015 que les grands acteurs du Cloud public sont aussi sécurisés que les SI des plus grandes institutions financières d'aujourd'hui et conseille aux dirigeants informatiques de basculer vers le Cloud (à ce jour aux USA, le gouvernement américain dépense près de 20 milliards par an dans le Cloud Public).

Dans un billet daté de fin décembre 2015, Louis Naugès ose affirmer que "les Clouds Publics sont plus sûrs que 99,999 % des centres de calcul privés." Je ne sais pas d'où il peut sortir un chiffre aussi fantaisiste (peut-être d'un algorithme Google), néanmoins après plus de 12 ans d'audit de sécurité des SI dans tout type d'entreprise, je peux affirmer que l'on doit pouvoir améliorer fortement le niveau de sécurité grâce au Cloud.

Alors, le Cloud Computing est-il la solution miracle aux problématiques de sécurité des entreprises ? Evidemment pas aussi simple.

Le modèle SaaS et la sécurité

Prenons les solutions en mode SaaS (par exemple Office 365 ou Google Apps), quel est le moyen de vérifier le niveau de sécurité ? Difficile, car il faut analyser des contrats qui peuvent faire plusieurs dizaines de pages (plus de 100 pages sur Office 365 d'après les juristes qui ont tenté de le faire).

Les facteurs conditionnant une sécurité acceptable dépendent de la présence de ses 3 critères chez le fournisseur:

1. les certifications : des plus générales de type ISO 27001, ISAE 3402 aux plus spécifiques de type ISO 27017 (juste publiée) ou  les recommandations de l'ANSSI, 
2. les bonnes pratiques : authentification à deux facteurs, pentests régulier, présence d'un SOC, …
3. la sécurité physique des infrastructures : faire attention au type d'infrastructure qui supporte l'application en mode SaaS (on peut faire du SaaS dans un Data center 100% privé ou chez AWS ou Azure).

Le modèle SaaS assure donc un niveau de sécurité potentiellement plus satisfaisant que les architectures conventionnelles mais la confiance n'exclut pas le contrôle et c'est justement ce contrôle qui est difficile à mettre en œuvre.

Le modèle IaaS (Infrastructure As a Service) et la sécurité

Pour le IaaS, la sécurité des infrastructures est forcément assurée et contrôlée. Un Datacenter privé est de niveau TIER I ou II, un Datacenter partagé est de niveau III et les grands cloud publics sont au niveau III+ ou IV. Malheureusement, la sécurité physique n'est qu'un petit bout du  problème de la sécurité des SI.

Les problèmes concernent plus la partie sécurité logique et applicative car les responsabilités sont beaucoup plus partagées sur le IaaS. 

Prenons la partie OS (Windows ou Linux), il est de la responsabilité du fournisseur de Cloud de vous fournir une image à jour pour monter vos serveurs  (avec les derniers correctifs). Mais dès que vous avez allumé votre serveur, c'est 100% de la responsabilité du Client de procéder à l'installation des nouveaux correctifs.

Ensuite, sur la mise en œuvre de solutions de sécurité, trois approches existent :

• Le fournisseur de Cloud offre  dans son catalogue des solutions en mode aaS : par exemple un VPNaaS, une solution de monitoring,...  
• Le fournisseur de Cloud offre via son portail des solutions de partenaires : IDS, anti-virus, analyse de vulnérabilités…
• Le client installe dans ses instances, ses propres solutions (qui doivent respecter les clauses contractuelles du fournisseur de Cloud)

Si le modèle IaaS présente des éléments de sécurité forts pour les "parties basses" de l'architecture du SI, il faut bien se rendre compte que la moitié de la sécurité est à la charge du client et que les contrats IaaS protègent très bien les fournisseurs sur les responsabilités en cas de problème.

Pour conclure sur la sécurité et le Cloud public

En ce début 2016 on peut affirmer que le Cloud  public représente une solution de sécurité fiable pour les entreprises. Mais toutes les offres Cloud ne possèdent le même niveau de sécurité, c'est pourquoi chez Nuabee nous travaillons dans le but d'offrir à nos clients  la sécurité qui leur corresponde.

Sources :

Cybersécurité : Et si le Cloud était la solution :http://www.usine-digitale.fr/article/cybersecurite-et-si-le-cloud-etait-la-solution.N354074
Article blog Naugès : http://nauges.typepad.com/my_weblog/2015/12/6-challenges-%C3%A0-affronter-pour-r%C3%A9ussir-votre-si-en-2016-premi%C3%A8re-partie.html Dans cet article, il fait bien la distinction entre Cloud privé et centre de calcul privé.
U.S. CIO tells IT leaders to trust the cloud : http://www.cio.com/article/2996268/cloud-computing/us-cio-tells-it-leaders-to-trust-the-cloud.html