La responsabilité partagée dans le cloud public : un principe à connaître pour éviter les mauvaises surprises

Pramana
Pramana
Oct 1 · 7 min read

Les architectures traditionnelles dites « sur site » impliquent une forte responsabilité de la part des entreprises (vis-à-vis de leurs clients finaux et acteurs internes). La sécurité physique des infrastructures informatiques et la disponibilité de celles-ci restent une préoccupation majeure, occupant de ce fait une place importante dans le budget des entreprises. S’ajoute à cela la nécessité constante de faire évoluer le matériel dans l’objectif de garder un niveau de dette technique acceptable et par conséquent un niveau de sécurité et une qualité de service optimaux. Tout ce travail prend du temps et nécessite d’impliquer des collaborateurs qualifiés dédiés à la tâche. Ce modèle n’est pas adapté à toutes les entreprises et fait finalement dévier la plupart des sociétés de leur cœur de métier initial. C’est là qu’entre en jeu le cloud public, censé pallier les problématiques énoncées précédemment (entre autres).

Cependant, qui dit nouveau modèle économique dit aussi nouvelle répartition des responsabilités. Il existe aujourd’hui une pléthore de ce qu’on appelle les « As A Service », ayant chacun une répartition des responsabilités qui leur est propre. Nous allons, dans cet article, faire la lumière sur les zones d’ombre pouvant subsister quant aux responsabilités de chacun, tout en prenant en considération le modèle adopté. Dans un souci de simplicité, nous nous concentrerons sur les modèles les plus fréquents que sont le IaaS (Infrastructure as a Service), le PaaS (Platform as a Service) et le SaaS (Software as a Service).

La sécurité du et dans le Cloud

Quel que soit le modèle économique choisi, la sécurité du cloud (à différencier de la sécurité dans le cloud) est une problématique impliquant la responsabilité du fournisseur et non celle du client. Là où les entreprises se doivent de protéger physiquement leurs infrastructures sur site tels que les centres de données ou encore le matériel réseau associé, l’utilisation du cloud public reporte cette responsabilité sur le fournisseur. Il en va de même pour la disponibilité des infrastructures et services managés positionnés dans le nuage. La responsabilité du client commence lorsqu’il s’agit de ce qui se passe dans son cloud. Le fournisseur met à la disposition du client des outils et moyens techniques pour que celui-ci puisse parvenir à ses fins. C’est dans la manière d’utiliser, d’administrer ces outils et dans la manière de gérer les accès à ceux-ci que le client sera responsable des actions et conséquences qui en découlent.

Nous conseillons à nos partenaires d’étudier les engagements de niveau de service (que l’on voit régulièrement représentés par le sigle SLA pour « Service Level Agreement ») des fournisseurs de cloud. On y trouve un certain nombre d’informations très intéressantes comme la capacité du Cloud Provider à répliquer les données pour mieux les protéger des pertes, ou encore la durée moyenne de disponibilité de ses services (voire de la plateforme). Il sera ainsi plus facile de déterminer lorsqu’un cloud provider ne respecte pas ses engagements et si sa responsabilité est engagée en cas d’incident dans votre SI. Concernant la sécurité dans le cloud, nous conseillons de former à minima aux bases du cloud les membres composant l’équipe chargée de la sécurité du SI (s’il y en a une), de manière à ce que les risques qu’impliquent ces nouveaux modèles soient bien pris en compte dans le cadre de leur mission.

Un des nombreux avantages de ce modèle mais qui n’est pas souvent souligné est que le client va pouvoir bénéficier des normes et certifications de sécurité (ISO 27001, 27017, 27018, etc.) du cloud provider. Se certifier peut prendre beaucoup de temps et nécessite des ressources pour mettre en conformité l’entreprise (l’addition peut vite être importante si beaucoup d’ajustements sont à opérer). Pouvoir s’appuyer sur des infrastructures et services garantis comme sécurisés par des organismes indépendants est un plus non négligeable. De plus, grâce aux investissements en recherche et développement des fournisseurs, le client pourra bénéficier très rapidement des nouvelles avancées dans le domaine de la sécurité via les services mis à disposition (chose impossible ou presque en interne). Par exemple, il pourra ainsi être possible, grâce aux avancées du cloud provider en intelligence artificielle, de bloquer plus facilement des attaques réseaux ou encore de les détecter beaucoup plus tôt.

Identités et accès

La gestion des identités et des accès au service mis à la disposition du client sera toujours sous la responsabilité de ce dernier. Cependant, le périmètre n’étant pas le même d’un modèle à l’autre, l’utilisateur final n’aura pas besoin de se soucier de tout. Dans le cas du SaaS, l’accès à l’application et les habilitations associées aux actions possibles dans celle-ci seront sous la responsabilité du client. Pour le PaaS, le périmètre se concentrera autour des différents outils de développement, à savoir les IDE (Environnement de Développement Intégré), les serveurs d’applications (Apache, Nginx, IIS, etc.), les systèmes de gestion de base de données, etc. Enfin, dans le cas de l’IaaS, l’entreprise devra se soucier des accès aux différentes briques d’infrastructures telles que les machines et équipements réseaux virtuels. Par conséquent, Pramana encourage très fortement ses partenaires à mettre en place une politique de gestion des accès basée sur des rôles et non sur des personnes. Ceci permettra d’une part d’industrialiser les accès et donc d’en simplifier la gestion, et d’autre part, de parfaitement connaître ce à quoi les utilisateurs peuvent accéder ou non. Pour toujours plus de sécurité, l’ajout d’un système d’Authentification Multi Facteurs (MFA) est une bonne pratique, simple à mettre en place, ajoutant une couche de sécurité supplémentaire non négligeable.

A noter que l’exploitation d’une faille d’un logiciel pour usurper l’identité d’un utilisateur n’aura pas forcément pour conséquence de reporter la responsabilité sur l’éditeur du logiciel, ou sur le fournisseur de cloud dans le cas d’une faille dans l’un de ses services (reportez-vous sur les contrats de maintenance corrective et évolutive des logiciels que vous utilisez pour plus d’informations à ce sujet). Veillez de ce fait à appliquer la politique du moindre privilège pour réduire au maximum les surfaces exploitables en cas d’intrusions non désirées dans votre système, et à bien prendre connaissance des contrats passés entre vous et vos fournisseurs.

Chiffrer oui, mais pas n’importe comment

Le chiffrement est l’une des principales préoccupations des utilisateurs du cloud public. Que ce soit pour les données en transit ou au repos, il reste un moyen simple et efficace de se protéger de l’exploitation de données ayant fuité, ou encore d’attaques de type « Man In the Middle ».

D’un point de vue juridique, le chiffrement n’est pas une obligation mais tend à le devenir (à ne pas confondre avec la mise en place de moyen de sécurisation des données qui est, elle, obligatoire). Peu importe la nature des données manipulées, le chiffrement de celles-ci concernera les utilisateurs d’IaaS de PaaS et de SaaS. La bonne pratique veut que tous les flux, que ce soit entre applications, entre zones réseaux ou entre réseaux, soient chiffrés (en utilisant le protocole HTTPS par exemple). Comme vu précédemment, le client est responsable de la sécurité dans son cloud. De ce fait dans le cadre d’une offre IaaS ou PaaS, il ne pourra pas reporter la responsabilité sur le fournisseur si des données fuitent car étant en clair ou mal chiffrées dans son nuage. Dans le cadre d’une offre SaaS, le fournisseur ne sera responsable que des clauses qu’il aura inscrites dans le contrat qu’il aura établi avec son client. Soyez donc vigilant quant aux clauses que comprennent vos contrats.

Soyez également vigilant sur les algorithmes de chiffrement utilisés, que ce soit par vous ou encore par votre fournisseur de cloud. La loi française indique que l’utilisation de moyens cryptographiques est libre, cependant la CNIL a mis à disposition des préconisations sur l’utilisation de ces algorithmes, que ce soit pour le chiffrement ou pour le contrôle d’intégrité. Il est ainsi recommandé d’utiliser :

  • SHA-256, SHA-512 ou SHA-3 comme fonction de hachage,
  • HMAC utilisant SHA-256, bcrypt, scrypt ou PBKDF2 pour stocker les mots de passe,
  • AES ou AES-CBC pour le chiffrement symétrique,
  • RSA-OAEP comme défini dans PKCS#1 v2.1 pour le chiffrement asymétrique,
  • RSA-SSA-PSS comme spécifié dans PKCS#1 v2.1 pour les signatures.

L’utilisation d’algorithmes obsolètes, comme les chiffrements DES et 3DES ou les fonctions de hachage MD5 et SHA1 est à proscrire. Enfin, pour plus de facilité dans la gestion du chiffrement, nous invitons nos partenaires à mettre en place une politique de gestion des secrets indiquant la manière dont les clés et certificats sont gérés.

Que retenir ?

Le cloud public est un formidable outil pour pallier les problématiques énoncées en introduction de cet article. Cependant, ne pas connaître les principes de bases associés à la répartition des responsabilités expose l’utilisateur à des risques juridiques non négligeables. Il est donc nécessaire de prendre en considération ces informations pour construire son projet en parfaite connaissance de cause. Composé de spécialistes cloud certifiés connaissant parfaitement les rouages et avantages de la responsabilité partagée, le cabinet de conseil Pramana accompagne depuis plusieurs années déjà ses partenaires des secteurs public et privé dans leurs projets cloud. Afin d’éviter les désagréments liés à cette problématique, n’hésitez pas à contacter nos spécialistes pour construire ou faire évoluer ensemble votre projet. Pour plus d’informations sur nos offres, joignez nous via le formulaire de contact présent sur notre site web : www.pramana.fr

Rémi Beraux

Consultant
Pramana

Pramana

Written by

Pramana

Designing The Digital World

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade