Sécurité du Cloud Computing 4/5 - Responsabilités des acteurs face aux types de cloud

Dans les précédents articles nous avons vu les bénéfices d'une architecture cloud en terme de sécurité mais aussi les risques induits. Mais quelles sont réellement les bonnes questions a se poser dans le cadre de l'adoption de ce type d'architecture ? qu'est ce qui est de la responsabilité du cloud provider et du client dans ces infrastructures ? 
Les risques ne sont pas négligeables et peuvent avoir un impact fort sur le business.

Premier point : il existe différents types de cloud :
  • Software As A Service (SaaS)
  • Platform As A Service (PaaS)
  • Infrastructure As A Service (IaaS)
Chacun de ces types traine son lot de risques et d'avantages, du coup les points clés à considérer d'un point de vue responsabilités diffèrent d'une architercture à l'autre.

Software As A Service :

Les points suivants seront de la responsibilité du client : 
La conformité du stockage des données et leur traitement face aux lois et normes régissant son activité
La définition et la maintenance du système d'habilitation utilisateurs
La définition et la maintenance du système d'authentification utilisateurs


De la responsabilité du cloud provider : 
Les éléments d'infrastructure du datacenter (chassis, refroidissement, énergie, cablage, ...)
Le support et la résilience de ces éléments ainsi que les serveurs, le stockage, le réseau et la bande passante.
La gestion des patchs et le durcissement des socles (posant parfois des problèmes vis à vis de celle du client)
La gestion, la configuration et la maintenance des équipements de sécurité (Firewall, système de détection d'intrusion, ...)
La supervision des équipements, éléments d'infrastructure et serveurs.

Platform As A Service

De la responsabilité du client :
La définition, la gestion  et la maintenance du système d'habilitation utilisateurs
La définition, la gestion  et la maintenance du système d'authentification utilisateurs (y compris les politiques de mot de passe)

De la responsabilité du Cloud Provider :
En plus des élements à la charge du cloud provider de la section précédente, il faut ajouter :
La collecte et le traitement des logs

Infrastructure As A Service

De la responsabilité du client :

La définition, la gestion  et la maintenance du système d'habilitation utilisateurs
La définition, la gestion  et la maintenance du système d'authentification utilisateurs (y compris les politiques de mot de passe)
La gestion et la mise a jour des OS des machines hébergées (la plupart du temps virtuelles)
Le durcissement des socles des machines hébergées
La configuration des équipements de sécurité hébergées (Firewall, antivirus, ...)
La maintenance de ces équipements
La collecte et l'exploitation des logs.

De la responsabilité du Cloud Provider :

Les hyperviseurs et systèmes d'hébergement
Les éléments d'infrastructure du datacenter (chassis, refroidissement, énergie, cablage, ...)
Le support et la résilience de ces éléments ainsi que les serveurs, le stockage, le réseau et la bande passante.

Nicolas Jacquey
Sébastien Ringeard

Responsable d'un contrat de service au forfait portant sur l'exploitation de la banque de détail d'une grande banque francaise.