Février 2016 - Réseaux

Cloud   |  Sécurité

Cloud computing et sécurité réseau

Le recours au Cloud computing exige un renforcement de la sécurité, notamment en matière d’accès et d’infrastructure réseau afin d’en protéger les données ou ressources partagées par nombre d’utilisateurs… et par conséquent réparties entre équipements ou systèmes divers. Si les avantages liés au Cloud Computing sont nombreux (ouverture, flexibilité…) son utilisation peut toutefois comporter des risques.

Cloud

Le Cloud en bref…

Selon la définition du National Institute of Standards and Technology (NIST), le Cloud computing est l’accès via un réseau de télécommunications (Internet par exemple), à des ressources informatiques partagées configurables. Il s’agit donc d’une délocalisation des applications mais aussi de l’infrastructure informatique.

 

La sécurité du Cloud représente un sous domaine du Cloud Computing en relation avec la sécurité informatique. Elle implique des concepts tels que la sécurité des réseaux et du matériel et les stratégies de contrôle déployées afin de protéger les données, les applications et l’infrastructure associée. Un aspect important du cloud est la notion d’interconnexion avec divers matériels qui rend difficile et nécessaire la sécurisation de ces environnements. Un problème de sécurité dans une plateforme sur le Cloud peut engendrer une perte économique mais également une mauvaise réputation si toutefois cette plateforme est orientée grand public.

 

Une étude menée auprès de 300 responsables de sécurité IT en juin 2015 à l’occasion de la conférence Infosecurity à Londres, a révélé que 85 % d’entre eux avaient des doutes sur la collecte et l’hébergement des données dans le Cloud.

Protection des données et des applications

Comme toutes les infrastructures IT, le Cloud computing est vulnérable et peut être soumis à des attaques classiques externes (virus, logiciels espions, intrusions, déni de service, etc.). Pour y faire face, les utilisateurs doivent s’assurer que le fournisseur dispose des outils de sécurité informatiques nécessaires (des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau) pour garantir la sécurité des données. Mais ce n’est pas tout. En effet, le fournisseur doit être également prêt à répondre à de nouvelles menaces que l’on qualifie de « persistantes » menées par des criminels. Ces derniers exploitent, en effet, des systèmes très sophistiqués et sont ainsi capables de repérer toutes les failles des équipements et des applications existants dans le Cloud.

 

La mutualisation des infrastructures de Cloud public continue également de soulever beaucoup de questions concernant l’ « étanchéité » entre les machines virtuelles fonctionnant sur les mêmes plateformes « hardware ».

 

Dans les déploiements de sécurisation du Cloud, la nouvelle tendance consiste ainsi à privilégier une « protection fine » des données notamment grâce à un chiffrement à la source et à une authentification renforcée, plutôt que de continuer à ériger des murs de protection à base de firewalls. On voit ainsi se développer des plateformes de sécurité des accès au Cloud (ou Cloud Access Security Protection) nécessitant une nouvelle gouvernance et des dispositifs de protection renforcés.

 

Alors avant de vous lancer dans le Cloud, posez-vous les bonnes questions : Où sont hébergées les données ? Comment sont-elles protégées et qui en a la responsabilité ? Qui a accès aux données ? Comment sont gérés les privilèges d’accès des administrateurs ?