Avec l’utilisation du cloud, de nombreuses entreprises peuvent se développer sans avoir à investir dans de nouvelles infrastructures, des licences de logiciels ou dans la construction de grands Datacenter. Mais il y a un revers à la médaille, tous ces progrès se font au détriment de la sécurité des données. Les entreprises perdent en effet la gouvernance sur leurs propres données et traitements.
Nous ne pouvons que supposer que les fournisseurs de cloud utilisent des mécanismes de sécurité de base pour protéger les données dans le stockage, le traitement et la communication, puisque le cloud propose des ressources que beaucoup d’entreprises ne pourraient se permettre. Lorsqu’on envisage de passer au cloud computing, les clients doivent avoir une compréhension claire des avantages potentiels et des risques liés au cloud computing. Il faut alors qu’ils établissent des attentes réalistes avec leur fournisseur de cloud.
Le cloud présente des défis de sécurité bien différents de ceux que nous avons connus jusqu’à présent. Il ne s’agit plus simplement de sécuriser le périmètre, de créer une zone démilitarisée (DMZ) ou d’utiliser les dernières solutions antivirus. Dans un rapport élaboré par l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information), les menaces susceptibles d’atteindre la sécurité du Cloud Computing peuvent être catégorisées comme suit:
Quels sont donc les défis du Cloud Computing ?
– Les violations des données
Les violations des données, c’est quand des informations sensibles, protégées ou confidentielles sont diffusées, vues, volées ou utilisées par une personne qui n’est pas autorisée à le faire, via une attaque ciblée, une erreur humaine, une vulnérabilité dans l’application ou tout simplement de mauvaises pratiques de sécurité. Bien évidemment, cela implique une violation des paramètres de sécurité, d’intégrité et de confidentialité. Dans ce contexte les entreprises peuvent se voir infliger d’importantes amendes selon les pays où les données ont été hébergées. Elles peuvent également être soumises à des poursuites civiles et, dans certains cas, à des accusations criminelles. La meilleure protection contre la violation des données est d’adopter un programme de sécurité efficace. Il faut noter qu’il existe deux mesures de sécurité importantes qui peuvent aider les entreprises à rester sécurisées sur le cloud, le cryptage multifactoriel et l’authentification, ce qui nous ramène au second défi du Cloud Computing.
– Fragilité dans la gestion des accès et des identités
Les organisations qui prévoient de fédérer leur identité avec un fournisseur de cloud doivent comprendre le niveau de sécurité à atteindre autour de la solution apportée sinon, et en cas de manque de systèmes évolutifs de gestion de l’accès à l’identité, elles risquent de : • Lire, exfiltrer, modifier et supprimer des données; • « Snooper » sur les données en transit ; • Accéder sans autorisation aux données sensibles de l’entreprise.
Ainsi, des dommages catastrophiques peuvent atteindre les organisations ou les utilisateurs finaux en matière de confidentialité et d’intégrité, ce qui peut impacter l’image de marque des entreprises ainsi que leurs finances. Parmi les contremesures de ce problème de sécurité, il faut mettre en place une infrastructure à clé publique bien sécurisée et des systèmes d’Authentification multifactorielle (carte à puce),OTP et authentification par téléphone. Les Systèmes d’identité doivent être adaptés pour gérer le cycle de vie pour des millions d’utilisateurs. A noter que tous les mécanismes cryptographiques utilisés doivent être changés périodiquement pour renforcer la sécurité.
– Exploit de vulnérabilités des systèmes et des applications
Les vulnérabilités du système sont des bugs exploitables dans les programmes que les attaquants peuvent utiliser pour infiltrer un système informatique pour voler des données, prendre le contrôle du système ou interrompre les opérations du service. De telles attaques peuvent être atténuées par des processus informatiques de base: L’analyse régulière de la vulnérabilité, le suivi des menaces système signalées et l’installation de correctifs ou de mises à jour régulières de sécurité en fournissant les meilleurs exemples.
– Déni de services (DoS)
DoS est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources. L’idée, pour le pirate, est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services. Ce qui résulte des coupures de services, ainsi que l’attaquant qui consomme des cycles de calcul. Et pourtant, ce sont les utilisateurs paient la facture ! Il faut mettre en place des plans de continuité et reprises de services afin d’être mieux équipé pour pouvoir atténuer les attaques DoS.
Le phénomène du Cloud Computing est inéluctable. Beaucoup de responsables informatiques se méfient de la gestion de la sécurité nécessaire pour le Cloud Computing. Toutefois, ces risques sont éttouffés par les avantages apportés par cette infrastructure. Les économies de coûts est l’argument favorisée par les PDG et directeurs financiers. Le responsable sécurité n’a plus qu’à résoudre les différents risques de sécurité du Cloud Computing !
Le Cloud n’est pas une technologie nouvelle, mais une nouvelle façon de faire les choses en matière de technologie de l’information. Résister au changement est toujours difficile. Des spécialistes de la sécurité de l’information doivent accompagner le développement du Cloud en matière de sécurité, afin de permettre à ses usagers de bénéficier des avantages qu’offre ce dernier, et pour éviter que les gains potentiels de la migration vers un service cloud ne soient ternis par une menace de sécurité.
Loubna