Affichage des résultats du sondage: Quels sont les risques de sécurité du cloud computing ?

Votants
15. Vous ne pouvez pas participer à ce sondage.
  • Brèche de sécurité au niveau des Datacenters

    10 66,67%
  • Fragilité dans la gestion des accès et des identités

    12 80,00%
  • Utilisation d’API non sécurisés pour l’intégration des applications avec les services cloud

    8 53,33%
  • Exploit de vulnérabilités des systèmes d’exploitation et des applications hébergées

    9 60,00%
  • Piratage de compte

    9 60,00%
  • Action malveillante initiée, en interne, dans les effectifs du fournisseur

    8 53,33%
  • Menaces persistantes avancées

    2 13,33%
  • Perte de données

    10 66,67%
  • Insuffisances dans les stratégies d'entreprise d’adoption ou de passage au cloud

    6 40,00%
  • Utilisation frauduleuse des technologies cloud en vue de se cacher et perpétuer des attaques

    8 53,33%
  • Attaque par déni de services

    3 20,00%
  • Failles liées à l’hétérogénéité des technologies imbriquées

    2 13,33%
  • Autres, pouvez-vous préciser ?

    1 6,67%
  • Pas d'avis

    0 0%
Sondage à choix multiple
+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Siguillaume
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    août 2007
    Messages
    4 330
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 4 330
    Points : 21 705
    Points
    21 705

    Par défaut Quels sont les risques de sécurité majeurs du cloud computing ?

    Quels sont les risques de sécurité majeurs du cloud computing ?
    Une étude du CSA en révèle douze


    Les avantages du cloud computing sont aujourd’hui une évidence. Les plus notables sont : la réduction des coûts de maintenance de son infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc.

    Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable challenge.

    Pour rappel, le cloud computing est une approche informatique qui consiste à exploiter via Internet (ou tout autre réseau WAN) des ressources système et applicatives (serveurs, stockage, outils de collaboration et d'administration, etc.). Ces ressources distantes sont dites en cloud (dans le nuage).

    Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

    Nom : cloud-security-600x459-7979d.jpg
Affichages : 8607
Taille : 17,1 Ko

    Ce sont notamment :

    1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
    2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
    3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
    4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
    5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
    6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
    7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
    8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
    9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
    10. Utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
    11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
    12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.



    Ces douze points, tels que cités, pourraient davantage conforter les paranoïaques dans leur méfiance vis-à-vis du cloud, mais devront surtout encourager les utilisateurs (particuliers et entreprises) à être plus exigeants sur les niveaux de service (en anglais, SLA : Service Level Agreement) conclus avec les fournisseurs.


    Source :

    Rapport du CSA

    Rapport de l'ISACA



    Qu’en pensez-vous ?

    Selon vous, quelles sont les menaces les plus couramment exploitées par les pirates, et celles qui fragilisent la sécurité en cloud ?

    Avez-vous été victime d’une de ces menaces de sécurité ? Partagez votre expérience.



    Sondage sur l'adoption du cloud computing
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2008
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2008
    Messages : 24
    Points : 46
    Points
    46

    Par défaut Même pas en rêve

    Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 304
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 304
    Points : 4 303
    Points
    4 303
    Billets dans le blog
    6

    Par défaut

    La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA c'est le buffet de données à volonté pour eux

  4. #4
    Membre averti
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 164
    Points : 317
    Points
    317

    Par défaut

    Pour moi le cloud ne signifie pas mettre tous les oeufs dans le même panier, c'est comme le NoSQL, cela s'adresse à un besoin spécifique et donc à un périmètre d'applications/utilisateurs spécifique, en aucun cas tout le SI d'une entreprise doit être dans un cloud, c'est évident, et le maintient de DMZ et de cloisonnement entre les différents périmètres est le seul moyen pr limiter l'impact des attaques.

  5. #5
    Membre éclairé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    504
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 504
    Points : 847
    Points
    847

    Par défaut

    Citation Envoyé par TiranusKBX Voir le message
    La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA n'importe où c'est le buffet de données à volonté pour eux n'importe quel pays hébergeant (et autres services)
    Ne soyons pas raciste...
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  6. #6
    Membre chevronné
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    830
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 69
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 830
    Points : 1 863
    Points
    1 863

    Par défaut

    Citation Envoyé par i5evangelist Voir le message
    Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)
    Je ne peux qu'approuver ce propos mais cela nécessite une réflexion sur le délire ?

    Quelle est la signification sociologique d'un délire ? De ne pas être dans la crédulité de la pensée dominante (unique et imposée). Ce que nous appellerons l'ortho-doxa. Par exemple, et ce fut l'objet de ce très intéressant film "Enfant 44" (http://www.allocine.fr/film/fichefil...lm=211997.html) un crime commun ne peut exister dans la société idéale soviétique. Celui qui ose penser cela est un déviant et un paranoïaque, c'est donc un traitre contre révolutionnaire.

    Transposé dans le monde dit "libre", on a exactement le même schéma. Dissimuler ses données au nom d'une soit disante "vie privée" est la preuve qu'on est un complice de la subversion internationale. Les petits moutons de l'Est comme de l'Ouest ne "doivent avoir rien à cacher". Papa flic et Maman Education sont là pour. Comment oserait-on douter du bien que nous veulent Microsoft, Google, Monsanto et les élucubrants du GIEC ? D'ailleurs il y a un nom pour ces déviants : on les appelle "négationnistes".

    Petit retour nostalgique, obscurci par des nuages :

    [/
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 304
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 304
    Points : 4 303
    Points
    4 303
    Billets dans le blog
    6

    Par défaut

    @Chauve souris
    mettre Monsanto qui empoisonne tout le monde et Microsoft dans le même sac est un peut osé même si le chiffre d'affaire est du même niveau

  8. #8
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    492
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 492
    Points : 1 026
    Points
    1 026

    Par défaut

    Lu sur un autre site.

    Deja je lis en preambule de la gigantesque periode de transition que nous vivons que les DSI pour differentes raisons ( competences - budget - ressources humaines ) se contentent d un audit ...
    Autant faire dans un violon.

    Selon plusieurs experts en audit, les risques et pertes sont en constante augmentation et 8 fois sur 10, l'entreprise piratée ne le sait pas.
    Mais beaucoup de DSI ont du mal à obtenir des nouveaux budgets pour prévenir cette montée des risques. Certains, à court d'arguments face à leur direction, en viennent à souhaiter des incidents sérieux afin que le top-management prenne conscience de la nécessité d'investir un peu plus dans la sécurité,
    un DSI d’une société du CAC 40 qui estimait à près de 100 le nombre total d’applications SaaS « pirates » dans sa société, a appris d’un audit qu’il y en existait, en réalité, 2500...
    Lorsqu aucune action n est entreprise suite a de tels resultats cela devient criminel.

    Et à partir d'un certain périmètre à protéger. Une équipe sécurité du SI peut être constituée en 'centre opérationnel de sécurité' (ou SOC, Security Operation Center).
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    avril 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2016
    Messages : 1
    Points : 1
    Points
    1

    Par défaut Faut-il avoir confiance en la sécurité du Cloud ?

    Cet article fait une bonne synthèse des risques du Cloud public et de conclure qu'il pas plus risqué qu'un Cloud privé : Faut-il avoir confiance en la sécurité du Cloud ?

Discussions similaires

  1. FTP, quels sont les risques ?
    Par Civodul4 dans le forum Sécurité
    Réponses: 3
    Dernier message: 25/11/2008, 23h13
  2. Quels sont les risques avec les composants freeware ?
    Par gduo200 dans le forum Composants VCL
    Réponses: 16
    Dernier message: 18/09/2007, 19h08
  3. prospection nouveau job, quels sont les risques?
    Par TangoZoulou dans le forum Emploi
    Réponses: 8
    Dernier message: 18/07/2007, 16h39
  4. Réponses: 25
    Dernier message: 15/07/2006, 03h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo