Le Cloud hybride pose de nouvelles questions sur la sécurité
Le Cloud hybride dominera les choix des entreprises en 2013. Face aux rêves de réduction des coûts des directions générales, les équipes informatiques doivent élaborer rapidement une politique de sécurité ad hoc. Un défi à l'heure où le système d'information interne est à peine protégé.
Selon les experts, 2013 sera l'année du Cloud hybride. Cela risque surtout d'être l'année où la sécurisation de ce type de Cloud va occuper le devant de la scène.
Il n'existe pas de solution unique pour sécuriser un Cloud hybride selon les analystes et les experts. Il faut dire que les questions sont multiples : comment sécuriser les ressources sur site, comment sécuriser les applications qui débordent dans un Cloud public, comment sécuriser des données hébergées chez différents fournisseurs de services de Cloud, comment protéger les fondations virtualisées des Clouds privés et publics employés par l'entreprise, et enfin, comment sécuriser les terminaux mobiles qui se connectent à cette infrastructure Cloud.
« Une implémentation de Cloud hybride est unique pour chaque entreprise, cela complique la tâche » reconnaît Dave Asprey, vice président en charge de la sécurité Cloud chez TrendMicro, un éditeur de solutions de sécurité. Ce responsable adhère à l'idée que les entreprises vont évoluer vers des modèles où elles emploieront plusieurs fournisseurs de Cloud, chacun étant remplaçable selon l'usage, le prix et la disponibilité.
L'urgence désormais pour les équipes informatiques consiste à planifier et à se préparer pour une mise à jour technologique de sa politique de sécurité et des équipements associés. « Généralement, l'adoption d'une technologie a lieu bien avant que les questions de sécurité ne soient correctement traitées » souligne Gary Loveland, consultant en charge de la practice sécurité informatique chez PricewaterhouseCooper.
Dans le cas des Clouds hybrides, il estime que les clients sont plus clairs en matière d'exigences de sécurité dès le départ et imposent aux fournisseurs de donner des réponses solides dans des domaines aussi divers que le périmètre de leur architecture Multi-tenant, la conformité PCI ou FISMA, et les possibilités d'audit.
Un document qui récapitule les contrôles de sécurité des fournisseurs ...
Un document qui récapitule les contrôles de sécurité des fournisseurs
L'organisation Cloud Security Alliance en 2011 a dressé un registre CSA Security, Trust & Assurance Registry, gratuit qui décrit les contrôles de sécurité mis en oeuvre par divers founisseurs de Cloud. A l'heure actuelle, ce registre décrit les offres de 20 fournisseurs. On y trouve en particulier les déclarations de HP, de Amazon et de Microsoft (pour Office365 ou Azure).
"Le problème de fond", selon Gary Loveland, "est que les entreprises doivent avoir muri suffisamment dans leur usage des technologies de l'information et de la gestion des services de Cloud avant d'utiliser des solutions de sécurité plus évoluées". Jeff Spivey, vice président de l'ISACA, une association de professionnels de l'audit de systèmes informatiques, et vice président de RiskIQ un fournisseur de solutions de sécurité pour mobiles, est d'accord avec ce point de vue.
« Trop souvent, lorsque l'informatique interne d'une entreprise a passé la main à un fournisseur de Cloud, elle estime que c'est ce dernier qui a toute la responsabilité de la sécurité » constate-t-il. Or, ce n'est pas vrai. « C'est au contraire le moment l'équipe informatique doit être encore plus précautionneuse en matière de mise en oeuvre de la sécurité au travers des différents Clouds employés » martèle Jeff Spivey.
Il conseille de s'intéresser à COBIT 5.0 qui décrit les indicateurs informatiques de la sécurité pour le Cloud Computing. Il faut dire que la pression augmente sur les équipes informatiques pour réaliser les économies promises par le Cloud. Ce n'est pas une raison pour aller trop vite.
Pour information, l'université du Texas a mis au point un algorithme qui permet aux entreprises de développer une stratégie de Cloud hybride en partant des risques. Il s'agit selon l'un des auteurs de cet algorithme d'un mécanisme efficace et sécurisé afin de séparer des calculs entre des Clouds publics et privés (voir l'article publié ).
Distribuer les calculs et les données dans un Cloud hybride ...
Distribuer les calculs et les données dans un Cloud hybride
Il s'agit d'un cadre afin de distribuer les données et les calculs dans un Cloud hybride, tout en assurant de la performance, en maîtrisant le risque de fuite de données sensibles, et en gérant le coût des ressources. La technologie est mise en oeuvre comme un add on pour des infrastructures de Cloud reposant sur Hadoop et Hive. Et l'équipe de l'université a démontré que le tout fonctionne sur des clouds publics.
L'impact du Cloud amène dans le même temps en France, un responsable informatique et sécurité d'une grande banque à opter pour une sécurité mise en oeuvre au niveau des applications et non plus du réseau et des infrastructures comme cela a été le cas jusqu'à présent. « C'est l'application qui doit gérer le chiffrement et le déchiffrement des données » conseille-t-il. Il préfère le chiffrement à l'anonymisation qui ne permet pas de réaliser les traitements sur les données.
Dans la foulée, cette action de chiffrement et de déchiffrement par l'application permet de résoudre selon lui, la question du Patriot Act. En conclusion, Jeff Spivey, vice président de l'ISACA, pour sa part, préconise que quelque soit la politique de sécurité définie par l'entreprise, celle-ci doit être portable.
« Ne verrouillez pas votre politique à votre fournisseur de Cloud » conseille-t-il. Il y aura un moment où l'entreprise voudra migrer vers un autre fournisseur et personne ne voudra revoir toute la politique de sécurité.
