Cet article est le premier d'une série consacrée à la sécurité dans le cloud computing. Je vous suggère aussi d'aller faire un tour sur le blog de nos homologues de la sécurité, le blog orange consacré à la sécurité des réseaux et des systèmes.
Nous nous appercevons que certains décideurs même si ils sont attirés par les gains que le cloud pourraient leur faire faire sont frileux d'avancer pour des raisons de sécurité.
Ils se sentent très concernés par les risques engendrés par une architecture cloud qui serait mal sécurisée ainsi que la perte de contrôle directe sur les systèmes dont ils sont responsables en terme de service.
Ces craintes peuvent ètre regroupées en 4 catégories :
- La sécurité de l'information ainsi que la confidentialité
- La disponibilité des services
- L'intégrité des données et des service
- La perte de controle de l'infrastructure
Une étude montée par l'ENISA (European Network and Information Security Agency) et rendue fin 2009 a montrée que les 3 premières catégories pouvaient pour 90% des décideurs interrogés être un élément discriminant.
Pour aider à la fois les fournisseurs de services et les clients, la Cloud Security Alliance avait publié un document de bonnes pratiques, sortie fin 2009, ce document était devenu pour certain la bible de la sécurité du cloud computing.
Toutes les recommandations ne sont cependant pas applicables à tous les environnements. Ceux ci n'ont pas la même finalité, ne servent pas le même besoin fonctionnel, n'héberge pas le meme type d'information. Pour ètre correctement appliqué ce guide doit donc ètre mis en regard de la criticité de l'architecture à herberger sur une plateforme de Cloud Computing. La difficulté est donc ici toujours la meme : de positionner le curseur correctement.
Pour compléter ce document et aller un peu plus loin dans cette démarche HP et le CSA ont donc publié une étude sur les plus grosses menaces du cloud Computing : "Top Threats to Cloud Computing". Cette étude publiée début Mars est disponible en téléchargement depuis le site d'HP, un enregistrement est nécessaire, le nom du projet était d'ailleurs évocateur : "seven deadly sins".
Cette étude très intéressante, prend les 10 plus grandes menaces, autour des 4 catégories listées plus haut. Pour chacune de ces menaces vous avez une brève description, des exemples concrets rencontrés dans des sociétés, quelques remédiations sont proposées, le type de cloud auquel s'applique la menace ainsi que l'impact.
Ce document se veut synthétique. Cependant il peut faire peur à certains clients et utilisateurs. C'est l'expérience des intégrateurs et des fournisseurs de service qui fera la différence sur ce type de problématique sécuritaire. Clairement il appartient aux fournisseurs de service ou à l'intégrateur de prendre en compte les contraintes du client, pour ne pas qu'il cède à une paranoia sécuritaire qui mettrait en péril son projet.
Responsable d'un contrat de service au forfait portant sur l'exploitation de la banque de détail d'une grande banque francaise.