sécurité du cloud computing 3/5 : Les principaux risques d'une architecture Cloud

Dans les précédents articles nous avons parlé des apports sécuritaires des architectures Cloud. En effet, ces aspects sont "un peu" oubliés face justement aux risques induits par ces architectures.
Justement, quels sont ces risques ? sont ils uniquement liés aux architectures distribuées ? mutualisées ? aux faits que ces architectures sont hébergées parfois par un tiers ?
Cet article va traiter des plus gros risques en terme de sécurité.

Comme l'article précédent je suis parti d'une étude réalisée par l'ENISA (European Network and Information Security), mais aussi de différentes littératures et présentations éditeurs. Gartner a d'ailleurs publié dès 2008 un article sur les 7 risques les plus élevé spécifiques aux architectures Cloud. j'en ai choisi 3 qui me semble nécessiter une réflexion avant de se lancer.

La perte de gouvernance : Lors du choix de son cloud provider, le client cède ainsi le controle (en partie au moins) de son infrastructure à l'hébergeur. Dans certains cas ceci peut affecter sa sécurité. L'autre contrepartie est que dans certains cas la DSI cliente (ou l'entité s'y rapprochant) sera responsable du non respect des SLA par le Cloud Provider. "you can outsource responsibility but you can't outsource accountability." ENISA, Benefits, risks and recommendations for information security, Nov. 09.

La localisation des informations et le changement de juridiction : Lors de l'utilisation d'applications du cloud, vous ne savez probablement pas ou sont hébergées vos informations. Vous ne savez peut être pas dans quel pays elles sont stockées réellement. Ansi, il est nécessaire de demander au cloud provider de s'engager sur le stockage et le traitement des informations dans certaines juridictions spécifiques uniquement. Selon le type d'information, il est parfois nécessaire d'avoir un engagement contractuel du Cloud Provider sur le respect des lois du pays du client.

La perte de certification : Certaines entreprises qui migrent dans une infrastructure de Cloud, ont investit de manière conséquente dans l'optention de certifications : ISO9000, ... Ces investissements réalisés pour répondre soit aux standards industriels, soit à la compétitivité, peuvent ètre en risque si :
  • Le Cloud Provider ne peut fournir la preuve de sa propre conformité aux standards requis par la normalisation du client
  • Le cloud provider ne permet pas l'audit des points requis par la certification.
C'est par exemple le cas des groupes bancaires qui doivent correspondrent à un certain nombre de critères de confidentialité et de niveau de preuve ne permettant pas, pour certaines d'entre elles l'utilisation d'un cloud public.

Nicolas Jacquey
Sébastien Ringeard

Responsable d'un contrat de service au forfait portant sur l'exploitation de la banque de détail d'une grande banque francaise.