www.enisa.europa.eu

CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES

DONNÉES

Dr Giles Hogben

European Network and Information Security Agency (ENISA)Agence européenne chargée de la sécurité des réseaux et de l'information

www.enisa.europa.eu

Objectifs de l’ENISA dans le domaine de Cloud Computing

2

Aider le secteur privé et les pouvoirs publics à bénéficier des avantages du Cloud Computing en matière de coûts

Maintenir la disponibilité du service, la confidentialité et l’intégrité des données, le respect de la vie privée.

www.enisa.europa.eu

Cloud Computing: avantages, risques et recommandations pour la sécurité de l’information

3

www.enisa.europa.eu

Click to edit Master subtitle style

4

Avantages en matière de sécurité

www.enisa.europa.eu

Économies d’échelle

www.enisa.europa.eu

Économies d’échelle et sécurité

Plusieurs mesures de sécurité sont moins coûteuses lorsqu’elles sont mises en œuvre à une plus grande échelle

(par exemple filtrage, réponse aux incidents, gestion des patchs, durcissement des machines etc.)Pour un investissement égal en matière de sécurité, la protection est meilleureQuand même le marché n’est encore prêt pour les applications de haute assurance.

www.enisa.europa.eu

Les Risques

www.enisa.europa.eu

Resources de très grande valeur:

La plupart des risques ne sont pas nouveaux, mais la valeur des resources qu’ils affectent est plus élevée

Le personnel doit être dignes de confianceLes interfaces de gestion constituent des cibles tentantes

www.enisa.europa.eu

Perte de gouvernance:

Le client cède le contrôle au fournisseur pour plusieurs questions relatives à la sécurité:

les tests de pénétration externes ne sont pas autorisés

les journaux (logs) disponibles sont très limités

en général, aucun service d'investigation numérique (forensics)

www.enisa.europa.eu

Difficulté de changer fournisseur (vendor lock-in)

Peu d’outils, de procédures ou de formats standards pouvant garantir la portabilité des données et des services

Difficile de passer d’un fournisseur à un autre, ou de récupérer les données

www.enisa.europa.eu

Répartition peu claire des responsabilités

« Appirio Cloud Storage crypte totalement chaque donnée envoyée par un ordinateur pour être stockée sur Amazon S3. Une fois stockées, les données sont protégées par les mêmes mécanismes de sécurité de haute qualite’ qui protègent des milliers d’utilisateurs des services d’Amazon » (Merci à Craig Balding, de cloudsecurity.org, pour cette information)

www.enisa.europa.eu

Amazon Web Services – Conditions d’utilisation:

«L’APPLICATION DES MESURES DE SÉCURITÉ NÉCESSAIRES POUR PROTÉGER VOS DONNÉES, Y COMPRIS LE CRYPTAGE DES DONNÉES SENSIBLES, RELÈVE DE VOTRE SEULE RESPONSABILITÉ.»«Vous êtes personnellement responsable de toutes les applications exécutées sur des instances que vous démarrez sur Amazon EC2, ainsi que de la totalité du trafic en entrée et en sortie de ces instances. Il vous incombe dès lors de protéger vos mots de passe, noms d’utilisateur et autres codes d’identification. Vous serez responsable de toutes les activités effectuées sous votre compte.»

www.enisa.europa.eu

l'Échec des mécanismes d'isolement

Stockage (par exemple attaques par canal auxiliaire), voir http://bit.ly/12h5Yh Pôles d’entropie (http://bit.ly/41sIiN)Utilisation des ressources (par exemple largeur de bande)

www.enisa.europa.eu

Chiffrement: les données doivent être traitées en texte clair (pour la plupart des

opérations)

=> Pour faire quelque chose d’utile avec le Cloud Computing, il faut faire confiance au fournisseur de services cloud

CustomerCloud

www.enisa.europa.eu

Risques juridiques et contractuels

Données dans de multiples juridictions, certaines pouvant être à risque

Dans certains cas, l’utilisation du Cloud Computing empêche d’atteindre certaines normes de conformité

Risques pour le respect de la directive européenne sur la protection des données

Potentiellement difficile pour le client (responsable du traitement) de vérifier les pratiques de traitement des données du fournisseur

Ce problème est exacerbé dans le cas de transferts multiples de données

Injonction et e-découverte

Propriété intellectuelle

www.enisa.europa.eu

Common Assurance Maturity Model

(Modèle commun pour mesurer la maturité de l’assurance)

Une base minimale pour:comparer les offres de services cloudévaluer les risques liés à la transition vers le Cloud Computingréduire la charge d’audit et les risques pour la sécurité

www.enisa.europa.eu

Click to edit Master subtitle style

Les pouvoirs publics et le Cloud Computing

17

UKD

K

USA

Singapore

Japan

Australia

•Dans le monde entier, des agences gouvernementales et des organisations publiques adoptent le Cloud Computing pour des applications non critiques• Certains pays (par exemple la Corée) vont jusqu’à fournir eux-memes de l’infrastructure de type cloud comme une plate-forme d’innovation

...

www.enisa.europa.eu

Click to edit Master subtitle style

18

2010-2011 – aider les pouvoirs publics européens à evaluer le Cloud Computing

Objectifs de l’ENISA:• analyser et évaluer les incidences du Cloud Computing sur la résilience et la sécurité des services publics• offrir des recommandations et des bonnes pratiques aux États membres de l’Union européenne envisageant qui pensent de passer au Cloud Computing

www.enisa.europa.eu

Conclusions

Le Cloud Computing peut représenter une amélioration de la sécurité pour les applications et données non critiques

La transparence est cruciale: les clients doivent pouvoir évaluer et comparer les pratiques des fournisseurs en matière de sécurité

De nombreux efforts sont encore nécessaires pour obtenir des niveaux de sécurité meilleurs dans le Cloud Computing

Pour une fois, nous pouvons intégrer la sécurité dès le départ, ne laissons pas passer cette occasion

Cloud Computing: avantages, risques et recommandations pour la sécurité de l’information 2009 http://is.gd/cem9H

www.enisa.europa.eu

Dr Giles HogbenSecure Services Programme Manager

European Network and Information Security Agency

Giles.hogben@enisa.europa.euwww.enisa.europa.eu

Contact