Infonuagique: les pours et les contres liés à la sécurité

Présenté parVincent SivetonConseiller stratégique seniorCRIM Centre de test et d’interopérabilitévincent.siveton@crim.ca

Présenté pour TIenregionLe 17 octobre 2012

Partenaire financier :

2

L’infonuagique, potentiel d’avenir mais…

Source Cefrio – Prompt : http://promptinc.org/documents/Prompt_Rapport_CEFRIO_2012.pdf

Pierre Audoin Consultants: http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html

3

L’infonuagique en 3 mots

• Un ordinateur/tablette/smartphone

• Une authentification

• Une connexion internet

• Des questions:

• Sécurité des transactions?

• Confidentialité des données?

• Stockage et partage des données?

• Disponibilité du service?

4

L’infonuagique – qui contrôle quoi?

8

Les avantages liés à la sécurité

• Externalisation de données non sensibles

• Externalisation des services et expertises

• Redondance des applications donc meilleure disponibilité

• Sécurité des infrastructures basées sur des standards reconnus

• Unification des outils

• Avantages financiers

9

Les préoccupations classiques liés à la sécurité

• Données stockées sur le nuage

• Localisation des données

• Accès aux données en tout temps et par qui

• Aspects juridiques et légaux

• Droit applicable

• Sécurité/confidentialité dépend du fournisseur et de ses conditions

• Contrat et clauses: droit d’ouverture et de fermeture de comptes, communication des données…

• Arrêt du contrat

• Si indisponible, pas de données = pas de travail

• Amazon, Google font la manchette de temps en temps

10

Les défis et les risques liés à la sécurité

• Avoir une relation de confiance avec le fournisseur

• Assurer le changement de fournisseurs infonuagique (intéropérabilité, compatibilité…)

• Avoir des garanties légales propres au pays

• Localisation des données en fonction du domaine d’affaire (ie Patriot Act)

• Cryptage (et décryptage) des données

• Fiabilité des mots de passe

• Liens télécommunication sécurisés

• Garantir la qualité du service

• Accès aux journaux (logs)

• Gestion des versions (SAAS)

13

Cloud Security Alliance

• https://cloudsecurityalliance.org/

• Organisation a but non lucratif créée pour promouvoir l'utilisation de pratiques de pointe pour assurer la sécurité

• Création de Open Certificate Framework en collaboration avec le British Standards Institution

• Système global de certification de confiance pour les fournisseurs d’infonuagique reconnus

• Security Guidance for Critical Areas of Focus in Cloud Computing

• Recommandations sur 13 domaines lié à l’infonuagique

14

Conclusion

• Infonuagique est à ses débuts!

• Menaces et défis comme toutes nouvelles technologies!

• Avantages financiers certains, utilisation à la demande

• Sécurité est reconnue mais risques de transition de vos SI en mode infonuagique

• Sensibilité des données (cryptage, stockage)

• Légales (localisation)

• Réseautique (BYOD)

• Nouvelle façon de travailler (à distance, différents supports)

• Relation client-fournisseur forte

• Choix stratégique et organisationnel, et cas par cas, à analyser.