Cloud et Sécurité - Mythes et réalités - partie 2 - introduction à la gestion des risques avec le Cloud Computing

  • Article

Note préalable : ceci est la seconde partie d’une série d’articles sur le Cloud et la Sécurité. La première partie, consacrée au vocabulaire et bases du Cloud Computing, est lisible ici.

Faire de la sécurité, c'est avant tout gérer des risques et faire des choix :

- Accepter un risque et ne rien mettre en oeuvre pour y faire face
- Refuser un risque et mettre en oeuvre des technologies, processus et hommes pour le réduire au maximum
- Transférer un risque à un tiers (le principe même de la réassurance)

Le Cloud Computing pouvant prendre plusieurs formes (type de Cloud, type de services.. cf. la première partie de cette série d'article), il est assez difficile de donner une liste de recommandations générique et applicable dans tous les cas pour sécuriser "le Cloud".

Sécuriser des ressources consiste principalement à répondre aux besoins suivants :

- Assurer la Confidentialité des données stockées ou échangées
- Conserver l'Intégrité des données, applications, services et systèmes
- Garantir la Disponibilité des données, applications, services et systèmes

Ces 3 besoins sont facilement mémorisables en conservant l'accronyme des termes anglais (Confidentiality, Integrity, Availability) : CIA ;-)

A ces trois besoins essentiels, il est possible de rajouter :

- La tracabilité des actions, des échanges, des données...
- La non-répudiation

Avoir une approche centrée sur la gestion des risques est probablement la meilleure démarche à suivre lorsque vous allez devoir décider de faire évoluer votre Système d'Information vers un ou plusieurs types de Clouds. Le Cloud Privé étant une évolution des Datacenters virtualisés, cette gestion des risques devrait déjà être en place dans vos entreprises, il suffira probablement de l'adapter aux spécificités du Cloud Computing (libre service...).

Cette gestion des risques peut être traitée en quelques étapes dans le cas du choix d'une migration vers un ou des types de Cloud (Public, Communautaire ou Hybride) :

Etape 1 -- Identifier les ressources à déployer dans le Cloud Public / Communautaire / Hybride --

La majorité du temps, les ressources qui vont migrer vers le Cloud font parties d'une des deux catégories suivantes :
- Des données
- Des applications ou process

Note : Mettre une application et des données dans le Cloud n'implique pas de les localiser sur la même plateforme. Il est tout à fait possible de mixer les fournisseurs de Cloud (ce qui peut rendre l'exercice d'évaluation des risques encore plus compliqué mais bon...)

Dans cette première étape, l'objectif est de déterminer et lister les données et/ou applications candidates à la migration vers le Nuage.

----

Etape 2 -- Evaluer les risques sur les ressources à déployer dans le Cloud Public / Communautaire / Hybride --

Une fois les ressources identifiées (données & applications), il faut déterminer leur importance pour l'entreprise et se poser les bonnes questions. Par exemple :

- Quel est le risque qu'un employé du fournisseur du Cloud Public accède à mes données ?
- Quel est le risque que mes données soient modifiées à mon insue par un tiers externe ?
- Quel est le risque que mes données ne soient plus accessibles pendant une certaine durée ?
- Quel est le risque que mon application soit accessible à mon insue par un tiers externe ?
- Quel est le risque que mon application soit modifiée à mon insue par un tiers externe ?
- Quel est le risque que mon application ne soit plus accessible pendant une certaine durée ?

Pour faire simple, le principe d'évaluation des risques en environnement Cloud public est très similaire à celui que vous avez peut-être déjà effectué pour votre Système d'Information actuel.

Les différences se situent surtout sur les différentes options de déploiement dans le Cloud et l'aspect externalisation (outsourcing).

Si vous avez déjà externalisé des applications ou services chez un hébergeur Web l'exercice sera similaire mais légèrement différent du fait des caractéristiques du Cloud Computing (libre service, paiement à l'usage, localisations diverses des centres de données...)

---

Etape 3 -- Associer les ressources à des modèles de déploiement de Cloud ---

Une fois que vous avez évalué les risques pouvant affecter vos ressources (données, applications et systèmes), vous allez, dans cette étape, déterminer quelle ressource est "compatible" en terme de risques avec tel ou tel type de Cloud :

- Cloud privé et interne à l'entreprise: ce cas est le plus simple car il y a peu de différences avec votre SI existant
- Cloud public: dans ce cas, il faut tenir compte de la coexistence / isolation des données /applications / systèmes avec le reste des clients du fournisseur de Cloud Public. L'aspect contractuel est également très important (je reviendrai sur ce point dans des prochains articles)
- Cloud communautaire : dans ce cas, il faut tenir compte de la coexistence / isolation des données /applications / systèmes avec le reste des acteurs de la communauté- Cloud hybride : cf. les points cités précédemment

---

Etape 4 -- Associer les ressources à des modèles de services de Cloud --

Une fois le choix du modèle du déploiement des ressources réalisé, vous allez déterminer quel modèle de Cloud Public ou Communautaire ou Hybride est acceptable en terme de partage du contrôle des données / applications / systèmes.

Il est clair que plus on monte dans la couche applicative (IaaS --> PaaS --> SaaS), plus l'entreprise perd le contrôle des systèmes et applications. Ceci n'est pas forcément acceptable pour certaines organisations ou scénarios.

Inversement : les responsabilités sur les risques sont de plus en plus partagées plus on descend vers un modèle de type Infrastructure (SaaS —> PaaS —> IaaS)

Etape 5 -- Modéliser les flux d’informations ---

Dernier point, plus "technique", il est nécessaire de savoir par quels chemins vont transiter vos données / applications / systèmes pour migrer vers le Cloud (Public...) mais aussi depuis le Cloud (Public…) dans le cadre d'un retour au sein du Système d'Information interne à l'entreprise (Cloud Privé).

 

Les prochaines parties de cette série d’articles rentreront un peu plus dans le détail des différentes étapes de cet article.

– Stanislas Quastana –

Tags: Risques, Gestion+des+risques, IaaS, PaaS, SaaS, responsabilité