Bien que l’enjeu principal de la sécurité du Cloud consiste à garantir l’intégrité et la consistance des données hébergées, la question reste souvent occultée par un discours lié aux performances matérielles et technologiques.
La base matérielle
Même si les principaux intéressés ne l’avoueront jamais, force est de constater que la plupart des acteurs majeurs du Cloud se valent aujourd’hui en termes de puissance de calcul ainsi qu’en taux de disponibilité des données. Entre la réplication des données sur plusieurs datacenters et la mise en place de Plans de Continuité d’Activité (PCA), ce taux avoisine généralement, à juste titre, les 100%. Mais obtenir une forte puissance de calcul reste une démarche simple à mettre en œuvre pour peu qu’on s’en donne les moyens. Schématiquement, il suffit d’acquérir des machines puissantes, l’architecture réseau qui va avec, puis de répliquer le tout sur un site distant (très schématiquement). A condition de savoir ensuite le maîtriser. Et c’est à ce niveau que l’on observe les premières différences : garantir l’intégrité d’un document dans l’environnement de production ET sur la réplication. La performance matérielle doit donc être considérée comme un prérequis indispensable et non comme une fin en soi. Il est difficile d’imaginer un constructeur de smartphone se vanter que ses machines peuvent téléphoner (même si on a tendance à l’oublier).
La face émergée de la sécurité…
Dans cette même approche « matérielle », la protection des données hébergées au sein des datacenters est majoritairement limitée à la mise en place de Firewall pour se prémunir contre les attaques extérieures. Cette tendance s’explique notamment à cause du nombre d’attaques visant les applications métiers hébergées sur les datacenter. En 2013, elles représentaient 53% des attaques dirigées vers les datacenters selon l’institut Ponemon. Ce serait donc faire preuve d’inconscience d’ignorer ces menaces. De même, les Cloud Provider sont aussi très attentifs aux attaques par Déni de Service, les incitant donc à mettre en place des infrastructures toujours plus importantes pour éviter les saturations. Quitte à avoir un char d’assaut pour faire tourner un moteur de Renault 19. Des précautions qui ne sont pas inutiles surtout quand il s‘agit de préserver l’image des sociétés hébergées : une attaque par déni coûte environ 50€ à mettre en place mais peut faire de graves dégâts en termes de crédibilité. En janvier 2012, le collectif Anonymous avait lancé une attaque de déni de service sur les sites du FBI, du département de la Justice Américaine, d’Universal Music, du MPAA, du RIAA et d’Hadopi en réponse à la fermeture de Megaupload. Le tout, en moins de trois heures. Mais la sécurité réseau n’est qu’un aspect du problème. Si les plateformes hardware représentent les lignes de défenses, s’il n’y a pas d’équipe pour les organiser ou définir une tactique, il est facile de les transpercer.
… et la face immergée
Les Assises de la Sécurité 2013 ont aussi révélé qu’en réalisant des tests de pénétrations éthiques sur des datacenters, 80% n’étaient pas détectés. Il s’agit ici d’une remise en cause de certaines architectures et de mauvais réglages de solutions de sécurité au sein même des Cloud Provider. Et c’est sur cet aspect que reposent les menaces dont il est plus difficile de se prémunir : la sécurité « interne ». Un Cloud sécurisé c’est aussi et surtout un Cloud reposant sur un Security Operation Center (SOC) pour surveiller et corriger les alertes de sécurité avec les outils de corrélation ainsi qu’adapter les technologies aux nouvelles menaces au fil de l’eau. Paradoxalement, cet élément devrait être déterminant dans le choix d’un Cloud Provider, or les entreprises conservent des réticences à cet égard puisqu’elles estiment avoir les compétences en interne pour assurer la sécurité de leur système d’information. Mais la vocation des RSSI est-elle de conserver la sécurité technique au même niveau que la sécurité fonctionnelle ? Tout comme la vocation des DSI était-elle de rester dans l’informatique opérationnelle ? Le travail à mener ne se fait pas de manière conflictuelle mais partenariale. Confier les paramétrages de sécurité à un prestataire tout en conservant la définition de stratégies et la réalisation d’audits permettrait même d’être plus réactif sur les différentes menaces. De plus, les attaques sont aujourd’hui devenues tellement transverses sur les infrastructures (logiciels, matériels, applications…) qu’il n’est peut-être pas sain de faire porter le poids de la sécurité informatique sur les épaules d’une seule et même personnes.
La sécurité des technologies dans le nuage n’y échappe pas non plus et doit donc :
- Placer l’architecture serveurs sur des environnements à haute disponibilité même en cas de défaillance hardware,
- Garantir un stockage de qualité pour assurer la consistance des données,
- Mettre en place des processus permettant d’instrumentaliser à son profit les différentes briques matérielles et technologiques,
- Positionner suffisamment de ressources pour prendre en compte les rapports d’incidents en temps réel (ou presque),
- Respecter un ensemble de bonnes pratiques notamment sur la gestion des logs, les contrôles d’accès et d’identification.
Si ces éléments font souvent l’objet de louanges au sein des entreprises, ils ne sont pas forcément respectés. En revanche, un prestataire est tenu contractuellement de les assurer via une convention de service sous peine de sanctions financières. Des mesures radicales très difficilement transposables dans une société.
La gourmandise de l’Oncle Sam
Comme la donnée est aujourd’hui un bien devenu précieux, il a souvent été question de mise en garde face au Patriot Act ainsi qu’à la localisation géographique des datacenters dans lesquels les données sont hébergées notamment pour la confidentialité des données. Pourquoi s’embêter à aller dans une entreprise et prendre des photographies pour faire de l’espionnage industriel alors qu’il suffit aujourd’hui d’intercepter des flux de données ? Les hébergeurs français ont bien compris cette tendance en rapatriant leurs machines sur notre territoire. Cependant, le Patriot Act est un principe assez contaminant puisqu’il ne se limite pas à la position géographique et peut aussi s’appliquer sur du matériel américain présent en France. C’est d’ailleurs la raison pour laquelle les grands opérateurs télécoms français sont aujourd’hui en train de se recentrer sur du matériel européen ainsi que sur des technologies de cryptage des données éditées par des acteurs européens.
La réponse matérielle est donc un élément de la solution quand il s’agit de sécurité du Cloud et effectivement, il est préférable d’être bien équipé pour faire face aux attaques. Mais les enjeux et les attaques en sont aujourd’hui totalement transverses et ne sauraient se résumer à la simple approche matérielle et technologique des datacenters. Si, comme évoqué en début d’article, les acteurs majeurs du Cloud se valent concernant la puissance de calcul, ils ne se valent pas tous sur la maîtrise de leur matériel. Pour paraphraser un slogan de Pirelli : « Sans maîtrise, la puissance n’est rien ».
Auteur : François-Xavier Enderlé – RSSI- Responsable Sécurité du système d’information – AntemetA