IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Quels sont les risques de sécurité du cloud computing ?

Votants
16. Vous ne pouvez pas participer à ce sondage.
  • Brèche de sécurité au niveau des Datacenters

    10 62,50%
  • Fragilité dans la gestion des accès et des identités

    13 81,25%
  • Utilisation d’API non sécurisés pour l’intégration des applications avec les services cloud

    9 56,25%
  • Exploit de vulnérabilités des systèmes d’exploitation et des applications hébergées

    10 62,50%
  • Piratage de compte

    10 62,50%
  • Action malveillante initiée, en interne, dans les effectifs du fournisseur

    8 50,00%
  • Menaces persistantes avancées

    3 18,75%
  • Perte de données

    11 68,75%
  • Insuffisances dans les stratégies d'entreprise d’adoption ou de passage au cloud

    7 43,75%
  • Utilisation frauduleuse des technologies cloud en vue de se cacher et perpétuer des attaques

    8 50,00%
  • Attaque par déni de services

    4 25,00%
  • Failles liées à l’hétérogénéité des technologies imbriquées

    3 18,75%
  • Autres, pouvez-vous préciser ?

    2 12,50%
  • Pas d'avis

    0 0%
Sondage à choix multiple
Cloud Computing Discussion :

Quels sont les risques de sécurité majeurs du cloud computing ?


Sujet :

Cloud Computing

  1. #1
    Community Manager

    Profil pro
    Inscrit en
    Avril 2014
    Messages
    4 207
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2014
    Messages : 4 207
    Points : 13 061
    Points
    13 061
    Par défaut Quels sont les risques de sécurité majeurs du cloud computing ?
    Quels sont les risques de sécurité majeurs du cloud computing ?
    Une étude du CSA en révèle douze


    Les avantages du Cloud computing sont aujourd’hui une évidence. Les plus notables sont : la réduction des coûts de maintenance de son infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc.

    Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable challenge.

    Pour rappel, le cloud computing est une approche informatique qui consiste à exploiter via Internet (ou tout autre réseau WAN) des ressources système et applicatives (serveurs, stockage, outils de collaboration et d'administration, etc.). Ces ressources distantes sont dites en cloud (dans le nuage).

    Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

    Nom : cloud-security-600x459-7979d.jpg
Affichages : 21767
Taille : 17,1 Ko

    Ce sont notamment :

    1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
    2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
    3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
    4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
    5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
    6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
    7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
    8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
    9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
    10. Utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
    11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
    12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.



    Ces douze points, tels que cités, pourraient davantage conforter les paranoïaques dans leur méfiance vis-à-vis du cloud, mais devront surtout encourager les utilisateurs (particuliers et entreprises) à être plus exigeants sur les niveaux de service (en anglais, SLA : Service Level Agreement) conclus avec les fournisseurs.


    Source :

    Rapport du CSA

    Rapport de l'ISACA



    Qu’en pensez-vous ?

    Selon vous, quelles sont les menaces les plus couramment exploitées par les pirates, et celles qui fragilisent la sécurité en cloud ?

    Avez-vous été victime d’une de ces menaces de sécurité ? Partagez votre expérience.

    Sondage sur l'adoption du cloud computing

    Les cours et tutoriels pour apprendre le Cloud computing

    Cloud computing - le tutoriel pour débutant

    Le forum Cloud computing
    Pour contacter les différents services du club (publications, partenariats, publicité, ...) : Contacts

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2008
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2008
    Messages : 161
    Points : 702
    Points
    702
    Par défaut Même pas en rêve
    Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA c'est le buffet de données à volonté pour eux
    Rien, je n'ai plus rien de pertinent à ajouter

  4. #4
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    268
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 268
    Points : 556
    Points
    556
    Par défaut
    Pour moi le cloud ne signifie pas mettre tous les oeufs dans le même panier, c'est comme le NoSQL, cela s'adresse à un besoin spécifique et donc à un périmètre d'applications/utilisateurs spécifique, en aucun cas tout le SI d'une entreprise doit être dans un cloud, c'est évident, et le maintient de DMZ et de cloisonnement entre les différents périmètres est le seul moyen pr limiter l'impact des attaques.

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    585
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2004
    Messages : 585
    Points : 1 138
    Points
    1 138
    Par défaut
    Citation Envoyé par TiranusKBX Voir le message
    La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA n'importe où c'est le buffet de données à volonté pour eux n'importe quel pays hébergeant (et autres services)
    Ne soyons pas raciste...
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  6. #6
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 086
    Points
    3 086
    Par défaut
    Citation Envoyé par i5evangelist Voir le message
    Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)
    Je ne peux qu'approuver ce propos mais cela nécessite une réflexion sur le délire ?

    Quelle est la signification sociologique d'un délire ? De ne pas être dans la crédulité de la pensée dominante (unique et imposée). Ce que nous appellerons l'ortho-doxa. Par exemple, et ce fut l'objet de ce très intéressant film "Enfant 44" (http://www.allocine.fr/film/fichefil...lm=211997.html) un crime commun ne peut exister dans la société idéale soviétique. Celui qui ose penser cela est un déviant et un paranoïaque, c'est donc un traitre contre révolutionnaire.

    Transposé dans le monde dit "libre", on a exactement le même schéma. Dissimuler ses données au nom d'une soit disante "vie privée" est la preuve qu'on est un complice de la subversion internationale. Les petits moutons de l'Est comme de l'Ouest ne "doivent avoir rien à cacher". Papa flic et Maman Education sont là pour. Comment oserait-on douter du bien que nous veulent Microsoft, Google, Monsanto et les élucubrants du GIEC ? D'ailleurs il y a un nom pour ces déviants : on les appelle "négationnistes".

    Petit retour nostalgique, obscurci par des nuages :

    [/
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    @Chauve souris
    mettre Monsanto qui empoisonne tout le monde et Microsoft dans le même sac est un peut osé même si le chiffre d'affaire est du même niveau
    Rien, je n'ai plus rien de pertinent à ajouter

  8. #8
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Lu sur un autre site.

    Deja je lis en preambule de la gigantesque periode de transition que nous vivons que les DSI pour differentes raisons ( competences - budget - ressources humaines ) se contentent d un audit ...
    Autant faire dans un violon.

    Selon plusieurs experts en audit, les risques et pertes sont en constante augmentation et 8 fois sur 10, l'entreprise piratée ne le sait pas.
    Mais beaucoup de DSI ont du mal à obtenir des nouveaux budgets pour prévenir cette montée des risques. Certains, à court d'arguments face à leur direction, en viennent à souhaiter des incidents sérieux afin que le top-management prenne conscience de la nécessité d'investir un peu plus dans la sécurité,
    un DSI d’une société du CAC 40 qui estimait à près de 100 le nombre total d’applications SaaS « pirates » dans sa société, a appris d’un audit qu’il y en existait, en réalité, 2500...
    Lorsqu aucune action n est entreprise suite a de tels resultats cela devient criminel.

    Et à partir d'un certain périmètre à protéger. Une équipe sécurité du SI peut être constituée en 'centre opérationnel de sécurité' (ou SOC, Security Operation Center).
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  9. #9
    Candidat au Club
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    Avril 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2016
    Messages : 1
    Points : 3
    Points
    3
    Par défaut Faut-il avoir confiance en la sécurité du Cloud ?
    Cet article fait une bonne synthèse des risques du Cloud public et de conclure qu'il pas plus risqué qu'un Cloud privé : Faut-il avoir confiance en la sécurité du Cloud ?

Discussions similaires

  1. FTP, quels sont les risques ?
    Par Civodul4 dans le forum Sécurité
    Réponses: 3
    Dernier message: 25/11/2008, 23h13
  2. Quels sont les risques avec les composants freeware ?
    Par gduo200 dans le forum Composants VCL
    Réponses: 16
    Dernier message: 18/09/2007, 19h08
  3. prospection nouveau job, quels sont les risques?
    Par TangoZoulou dans le forum Emploi
    Réponses: 8
    Dernier message: 18/07/2007, 16h39
  4. Réponses: 25
    Dernier message: 15/07/2006, 03h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo