Cloud Security : Est ce qu’on peut se migrer en toute sécurité ?

De nos jours, on entend tout le monde parle du Cloud, c’est un terme qui est devenu tendance depuis pas mal de temps, un peu obscur pour certains, un peu barbare pour autres mais très facile à expliquer et très utilisés au quotidien. Alors comment est né ce nouveau concept ?

Originellement, c’est un terme marketing qui attire souvent les utilisateurs, il décrit l’externalisation des ressources informatiques et d’y accéder au travers d’un réseau autrement dit c’est l’hébergement des données personnelles et professionnelles dans des serveurs distants c’est-à-dire de bénéficier de plusieurs avantages en utilisant cette technologie.

Tout d’abord quand on parle du Cloud on parle du gain de l’espace, l’utilisateur n’a plus besoin de mettre une panoplie de documents dans un seul poste et guetter l’espace disque, il peut sauvegarder ainsi ses données sans se soucier de la machine qu’il utilise.

Ensuite, parmi les avantages les plus importants du Cloud computing, c’est L’accessibilité, en effet les données sont accessibles depuis n’importe quel ordinateur relié à internet, c’est moyen d’optimisation de système de communication.

En outre, le Cloud offre la possibilité de déployer des applications de manière immédiate. La mise à jour des applications est systématique. Une simplicité imbattable et une Plate-forme collaborative.

Selon le NIST (National Institute of Standards and Technology), les ressources informatiques et les applications du Cloud sont délivrés aux utilisateurs avec 4 modèles de déploiement et 3 modèles de service : SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service).

Figure 1 : Image de CSA

Parlons maintenant sur le modèle logique du Cloud, ce dernier est divisé en plusieurs couches comme montré dans la figure ci-dessous :

Figure 2 : Image de CSA

· Infrastructure : L’infrastructure physique sur laquelle la fondation est construite. Il comprend des composants de base tels que le réseau et le stockage.

· Metastructure : L’interface entre l’infrastructure et les autres couches. Il se compose de protocoles et de technologies qui facilitent la gestion et la configuration.

· Applistructure : Les applications ayant migré vers le Cloud ou les applications construites sur PasS. Il se compose d’applications et de services.

· Infostructure : C’est la couche d’informations constituée de données. Cela pourrait être des bases de données, des fichiers, etc.

La différence entre le Cloud et l’informatique traditionnelle réside dans la couche Metastructure qui inclut un plan de gestion et nous permet d’accéder aux ressources à distance.

Alors comment sécuriser le Cloud ?

En appliquant la division du schéma logique du Cloud, on peut diviser de même les techniques et les moyens de la sécurité sur plusieurs catégories :

· Sécurité coté Infrastructure :

C’est la sécurité de la couche infrastructure, la sécurité au niveau des infrastructures est très similaire à la sécurité des infrastructures traditionnelles (Des pare-feux, des IPS/IDS etc..).

Il existe deux sous-couches d’infrastructure: infrastructure physique et infrastructure virtuelle. L’infrastructure physique est l’infrastructure créée par le fournisseur de Cloud qui comprend le matériel et les équipements de support. L’infrastructure virtuelle est le réseau sur lequel nous nous appuyons.

· Sécurité coté Application :

La sécurité au niveau de l’application englobe tout ce qui concerne le cycle de développement sécurisé de logiciels et les tests DevOps (le DevSecOps en pleine expansion) aux scans de vulnérabilité et tests d’intrusion. Certaines des activités clés incluent :

i. Pratiques de développement sécurisé et utilisation de normes de code.

ii. Révision du code, test unitaire, régression et test de fonction.

iii. Test de sécurité des applications statiques (SAST)

iv. Test de sécurité d’application dynamique (DAST)

v. Évaluation de la vulnérabilité et test d‘intrusion

· Sécurité coté Données :

La sécurité du Cloud au niveau des données consiste principalement en des contrôles et processus liés aux points clés suivants:

i. Contrôles d’accès (Qui accède à quoi)

ii. Cryptage (protection des données au repos, en cours d’utilisation et en mouvement)

iii. Prévention des pertes de données (surveillance des données entrant et sortant du Cloud)

iv. Surveillance / alerte (d’utilisation, configuration, état du cycle de vie, etc.)

v. Application de la sécurité de la gestion du cycle de vie des informations (gestion de l’emplacement / de la résidence des données)

· Sécurité coté Utilisateur :

Ce niveau de sécurité Cloud se concentre sur les utilisateurs, les groupes, les stratégies et les processus d’autorisation. Il existe un domaine distinct, la gestion des identités et des accès, qui se concentre sur ce niveau de sécurité. Certaines des principales zones d’intervention dans le cadre de la sécurité Cloud au niveau utilisateur sont les suivantes:

i. Authentification multi facteur (MFA)

ii. Services d’annuaire

iii. Contrôle de l’accès utilisateur privilégié

iv. Gestion de mot de passe

Des responsabilités partagées ?

Nous allons parler sur les responsabilités du fournisseur du Cloud et de l’utilisateur (le client) pour bien gérer la sécurité.

La sécurité au niveau de l’infrastructure est une responsabilité partagée entre le fournisseur de Cloud et le consommateur de Cloud. Le fournisseur prendra en charge la sécurité de l’infrastructure physique et le consommateur prendra en charge la sécurité de l’infrastructure virtuelle. On cite l’exemple de la responsabilité partagée Amazon Web Services, quand ils appellent ces deux couches «Sécurité dans le Cloud» et «Sécurité du Cloud». AWS est responsable de la sécurité du Cloud et le client est responsable de la sécurité dans le Cloud.

Le client au niveau de la sécurité des données est plus concerné. Il est responsable en dernier ressort de toute perte ou violation de données que ce soit des bases de données ou même des données personnelles. L’utilisateur peut réclamer une réparation financière ou d’autres choses auprès d’un fournisseur de services Cloud, mais il se limite uniquement à ce qui est écrit dans le contrat de niveau de service (SLA). En revanche, le client peut avoir confiance dans la sécurité du fournisseur du Cloud si ce dernier possède des certifications comme ISO 27017 (Cloud Specific Controls), ISO 27001 (Security Management Controls), ISO 27018 (Personnal Data Protection), PCI-DSS (Payment Card Standards) ce qui montre que le fournisseur est audité régulièrement par un organisme indépendant validant le respect de ces standards.

BONUS : 10 étapes pour sécuriser le Cloud Computing

Ci-dessous, ceux sont des conseils pour une bonne sécurisation du Cloud, publié par le Cloud Standards Customer Council d’un livre blanc intitulé the “Security for Cloud Computing : 10 Steps to Ensure Success”

Figure 3 : 10 étapes pour sécuriser le Cloud

Sources :

https://Cloudsecurityalliance.org/

https://www.trendmicro.com

https://www.peerlyst.com

Like what you read? Give Raed Moussaoui a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.