IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Cloud Computing Discussion :

La sécurité dans le cloud est également l'affaire des utilisateurs , par Edouard Camoin et Matthieu Bonenfant


Sujet :

Cloud Computing

  1. #1
    Candidat au Club
    Homme Profil pro
    Inscrit en
    septembre 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : septembre 2021
    Messages : 1
    Points : 3
    Points
    3
    Par défaut La sécurité dans le cloud est également l'affaire des utilisateurs , par Edouard Camoin et Matthieu Bonenfant
    La sécurité dans le cloud est également l'affaire des utilisateurs, par Edouard Camoin, VP Résilience chez 3DS OUTSCALE et de Matthieu Bonenfant, Chief Marketing Officer chez Stormshield

    Alors que la transformation numérique des entreprises s'accélère, poussée notamment par le besoin accru de services en ligne pendant la pandémie, le cloud public reste l'option phare pour digitaliser les opérations. Or, l'externalisation dans le cloud n'a rien d'une logique « click and forget » : le client doit rester sur le pont et assumer plusieurs responsabilités de sécurité, sans quoi il s'expose à de sérieux incidents.

    Trois millions de dollars en moyenne portés par les entreprises victimes d'un malware, et 51 % d'entreprises attaquées : le cybercrime se porte bien.

    Une des raisons vient de la migration massive des entreprises vers le cloud dans le contexte de la crise sanitaire. Ainsi, entre 2019 et 2020 en France, le marché des services de cloud computing a enregistré une hausse de 17 %, et celui du IaaS et du PaaS, prisé pour fournir des solutions en ligne de visioconférence, de collaboration, de e-commerce et de streaming, a augmenté sur la période de 25 %. Mais en déplaçant les données et applications dans le cloud, les entreprises créent aussi une surface d'attaque bien plus vaste pour les malfaiteurs.

    C'est pourquoi, à l'heure où la cybersécurité doit garder un train d'avance sur les cybercriminels, la sécurité ne peut pas faire figure de parent pauvre dans la démarche cloud de l'entreprise.

    Nom : Matthieu-Bonenfant-C-1.jpg
Affichages : 89005
Taille : 307,3 Ko
    Matthieu Bonenfant, Chief Marketing Officer chez Stormshield

    Dans le cloud, la sécurité se joue à tous les étages

    Qu'on le veuille ou non, le cloud ne permet pas une externalisation totale de la sécurité des actifs informatiques migrés. Le client aura toujours une part de responsabilité. L'ignorer revient à mettre la sécurité sous le tapis et à s'exposer à de nombreux incidents de sécurité et attaques - vol ou perte de données, non-respect de la confidentialité, interruption des opérations, pour n'en citer que quelques-uns.

    Matthieu Bonenfant souligne : « Et la confiance que l'on porte à son environnement cloud doit se jouer à tous les niveaux : du fournisseur de service externalisé jusqu'aux applications et solutions de sécurité gérées directement par le client. Les qualifications de l'ANSSI concernant les prestataires de service d'informatique en nuage (SecNumCloud) ou les produits de sécurité permettent de développer cette confiance. »

    Il importe en premier lieu de bien cerner que la sécurité dans le cloud exige des protections à tous les niveaux de l'infrastructure :

    • Infrastructure physique, sous-jacente au cloud : serveurs, baies de stockage, switchs, systèmes de supervision ;
    • Infrastructure virtuelle : instances de calcul, stockage, VPC, réseaux virtuels ;
    • Applications et micro-services qui vont s'exécuter dans le cloud ;
    • Identités des utilisateurs et des administrateurs dont il faut gérer les profils et comptes d'accès pour utiliser applications et données ;
    • Données stockées dans l'infrastructure cloud, qu'elles soient non structurées ou structurées en base de données


    Client/fournisseur : qui sécurise quoi dans le cloud ?

    Il n'existe pas de réponse unique et applicable à tous les cas de figure. Tout dépend en effet du modèle proposé par le fournisseur de cloud. C'est pourquoi l'entreprise doit bien comprendre ce que son fournisseur prend en charge en matière de sécurité, et ce qu'il lui revient de sécuriser elle-même. À commencer par les grands principes qui suivent :

    Dans le cas du IaaS, le fournisseur de cloud est uniquement responsable de l'infrastructure physique sous-jacente au cloud, et de sa sécurité. Le client est donc en charge de la sécurité à tous les autres niveaux. Le PaaS ajoute la sécurité de l'infrastructure virtuelle aux responsabilités du fournisseur, alors que le client se charge des identités et des données. Enfin dans un modèle SaaS, la majorité de la responsabilité de sécurité revient au fournisseur, toutefois, le client doit toujours garder la main sur les identités et ses données.

    En synthèse, le client sera toujours responsable de ses données, des comptes utilisateurs et administrateurs et des identités, à minima. Il doit vérifier avec chaque fournisseur quelles autres responsabilités de sécurité lui reviennent selon le contrat. Et d'autant plus si l'entreprise suit une stratégie de cloud hybride et/ou multi-cloud, associée éventuellement à de l'edge-computing, et dans laquelle interviennent plusieurs fournisseurs et types de cloud.

    Nom : Edouard_Camoin.jpg
Affichages : 974
Taille : 11,4 Ko
    Edouard Camoin, VP Résilience chez 3DS OUTSCALE

    Les bonnes pratiques sécuritaires pour le cloud

    Le précepte à garder en tête : le client reste le premier responsable de la sécurité dans les clouds qu'il utilise et doit être proactif en la matière. À tous les niveaux de sécurité du cloud, l'entreprise doit veiller à garder un maximum de visibilité sur ce qui se passe - « Elle doit collecter et exploiter les traces telles que logs d'activité, d'accès, fonctionnement des applicatifs. Avec cette vision holistique, l'entreprise garde le contrôle et assure, le cas échéant, la réversibilité de la sécurité dans le cloud » détaille Edouard Camoin.

    Autre bonne pratique : raisonner en mode « Security by design », autrement dit intégrer la sécurité dans le projet cloud dès le départ. Il faut anticiper et s'organiser. Ce qui implique de définir les critères de sécurité pour définir les applications et données éligibles au cloud, décider qui fait quoi en matière de sécurité, à quel moment l'embarquer, anticiper les ressources à allouer, prévoir des sauvegardes, plan de continuité et de reprise intégrant pleinement les caractéristiques de sécurité des clouds utilisés par l'entreprise. De quoi éviter de colmater au prix fort des brèches ultérieures, et surtout d'éviter des crises. Le tout sans oublier la formation et la sensibilisation. En effet, « trop d'opérationnels font encore leur choix de technologie cloud, la négocie en interne et se penchent sur la sécurité à la dernière étape : la pire approche de sécurité dans le cloud ! » regrette Edouard Camoin.

    Pour choisir ses fournisseurs de cloud et mettre en place un environnement fiable, l'entreprise doit intégrer la notion de confiance dans ses critères de sélection. Travailler avec des fournisseurs de cloud qualifiés SecNumCloud et des technologies de sécurité qualifiées par l'ANSSI permet d'aller dans ce sens. De plus, l'évaluation des fournisseurs demande une attention particulière au périmètre de sécurité réellement garanti derrière une certification affichée : l'entreprise doit s'assurer que les engagements de sécurité sont clairement exprimés dans les clauses contractuelles.

    Puisque la proactivité du client est essentielle pour la sécurité dans le cloud, l'entreprise doit être prête à prendre les devants pour se couvrir d'un point de vue sécurité, même s'il est pris en charge par le fournisseur. « Par exemple, conserver la clé de chiffrement de ses données, ou même, ne pas laisser le fournisseur se charger des opérations de chiffrement. Et lorsque la sécurité incombe directement au client, il doit utiliser au maximum des technologies de protection tierces, compatibles avec divers environnements cloud, dont il aura la pleine maîtrise », recommande Matthieu Bonenfant. Ce faisant, l'entreprise assure la cohérence des politiques de sécurité sur l'intégralité de son système d'information (y compris en cloud hybride ou multi-cloud) et facilite la réversibilité de la sécurité en cas de changement de fournisseur cloud.

    Les entreprises ont une part de responsabilité en matière de sécurité dans le cloud : leurs données et leur souveraineté dans le cloud ne peuvent plus attendre !

    À propos de 3DS OUTSCALE :

    3DS OUTSCALE, partenaire stratégique et filiale Cloud de Dassault Systèmes, propose depuis 2010 aux startups, éditeurs de logiciels, entreprises et organisations publiques, des services de Cloud Computing de type IaaS robustes, sécurisés et sur-mesure, déployés sur des infrastructures industrielles de confiance.

    À propos de Stormshield :

    Partout dans le monde, les entreprises, les institutions gouvernementales et les organismes de défense ont besoin d'assurer la cybersécurité de leurs infrastructures critiques, de leurs données sensibles et de leurs environnements opérationnels. Les technologies certifiées de Stormshield, répondent aux enjeux de l'IT et de l'OT afin de protéger leurs activités.

    Et vous ?

    Qu'en pensez-vous ?
    Etes-vous du même avis, ou pensez-vous que la sécurité des données dans le cloud doit incomber uniquement au fournisseur ?
    Quelle est l'approche adoptée par votre organisation en ce qui concerne la sécurité des données dans le cloud ?

    Voir aussi :

    98 % des entreprises sont victimes d'au moins une violation de données dans le cloud, contre 79 % l'année dernière, tandis que 67 % font état de trois violations ou plus, selon une étude de Ermetic

    Une entreprise sur trois souffre d'un faux sentiment de sécurité quant au contrôle de l'accès à ses données sur le cloud, selon un rapport de CloudSphere

    Les entreprises doivent mieux cerner leur responsabilité en matière de sécurité des données dans le cloud, d'après un nouveau rapport de StorageCraft

  2. #2
    Membre régulier
    Homme Profil pro
    retraité
    Inscrit en
    mai 2014
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : mai 2014
    Messages : 20
    Points : 80
    Points
    80
    Par défaut Méfiance !
    L'auteur a raison de souligner (indirectement) que la sécurité du "nuage" n'est pas absolue et qu'il convient d'être attentif à la valeur technique et/ou commerciale de ce qui lui est confié.

    Personnellement, je ne mettrai jamais des documents confidentiels -ni même des documents personnels- à la portée des pirates.

Discussions similaires

  1. Réponses: 0
    Dernier message: 15/09/2020, 22h04
  2. Réponses: 0
    Dernier message: 15/06/2020, 21h09
  3. Réponses: 0
    Dernier message: 24/12/2014, 09h39
  4. Sécurité dans le cloud
    Par taherlabidi dans le forum Cloud Computing
    Réponses: 0
    Dernier message: 17/10/2012, 17h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo