Sécurité < 3 min

La sécurité dans le Cloud

La sécurité des données est une préoccupation majeure dans le monde de l'entreprise. Mais qu'en est-il lorsque vos données se trouvent dans le Cloud ? Comment s'assurer qu'elles sont bien sécurisées ?

Lorsque vous choisissez d'externaliser tout ou partie de votre infrastructure dans le Cloud vous devez faire un choix de confiance.

La sécurité dans le Cloud

Sécurité des données dans le Cloud : les questions à se poser

La première étape est de choisir un prestataire Cloud de confiance. Pour ce faire, il est important de se poser les bonnes questions :

• À qui je confie mes données ?
Est-ce que cet acteur est connu ? Quelle est sa réputation ? Est-il nouveau sur le marché ?

• Quels sont les types de données que j'externalise ? Quel est leur niveau de criticité ?
En fonction de la criticité des données qui seront externalisées le choix sera différent.
Pour schématiser, si les données sont peu importantes et peu risquées, vous pouvez opter pour un prestataire peu cher car si il y a une fuite de données cela sera sans gravité.
Au contraire si les données sont critiques, il sera important d'orienter sa recherche différemment et faire le choix de l'acteur en fonction des options de sécurité que celui-ci propose, plus elles seront élevées et mieux ce sera. Quitte à payer plus cher pour vous assurer une sécurité optimale de vos données.

• Quels sont les engagements de sécurité du provider Cloud ?
Généralement les Cloud provider fournissent un certain nombre d'engagements que ce soit au niveau de la disponibilité ou de la confidentialité des données. Une fois en avoir pris connaissance reste à se poser la question de la cohérence par rapports à vos besoins.

• La réversibilité est-elle envisageable ?
La réversibilité est un critère important à prendre en compte lors de votre choix de prestataire. En effet si un jour vous souhaitez rompre le contrat avec votre provider Cloud, il faut savoir si il est possible d'exporter vos informations et de changer de provider facilement ? Vous devez absolument éviter d'être captif de votre Cloud provider.
C'est pour cela que généralement, chez les grands acteurs du marché, ces solutions de réversibilité existent.

Les différents types de projets Cloud

Il est facile de tout catégoriser comme « Cloud », mais il existe différents types de projets Cloud. Lorsque vous entreprenez un projet Cloud, vous avez une volonté de vous affranchir d'un certain nombre de tâches qui concerne la gestion de votre système informatique. Que ce soit pour des raisons de coûts, de ressources, ou de temps.

Voici les différents type de projets Cloud qui existent :

Le SaaS : Software as a Service
C'est lorsque que vous décidez de tout confier à un prestataire externe, c'est le cas d'Office 365. La gestion sera minime puisque la totalité des couches sera confiée à Microsoft. L'autre avantage et que vous ne gérez pas la montée en charge et la disponibilité de l'application. Vous payez uniquement à l'utilisateur. Que vous en ayez un ou 100, c'est transparent.

Le PaaS : Platform as a Service
Le Cloud provider fournit uniquement la plateforme (base de données hautement disponibles, service d'hébergement web...) et vous n'aurez simplement qu'à mettre votre propre application dessus sans avoir à gérer la plateforme d'hébergement et d'exécution de l'application.
Vous administrez la montée en charge en attribuant des ressources aux services web et aux bases de données en fonction de vos besoins.
En effet cela est décorrélé du nombre d'utilisateurs dans l'application et les coûts dépendent des performances allouées. La disponibilité est gérée en choisissant le taux de réplication et via des contrats de SLA. Cependant il n'y a pas besoin d'être expert pour gérer les performances et la disponibilité, ce ne sont que des curseurs à déplacer et les services sont gouvernés par le cloud provider derrière.

Le IaaS : Infrastructure as a Service
Vous pouvez vous affranchir du hardware et faire le choix de gérer le système d'exploitation, les bases de données, les mises à jour etc...
Vous vous affranchissez de la gestion de vos ressources matérielles, des dépenses associées pour pouvoir ensuite commander, allouer et retirer des ressources très facilement (RAM, CPU, disques...).

Pour plus de clarté :

Les différents types de projets Cloud

Quel est le lien avec la sécurité dans le Cloud ?

Comme la gestion va différer en fonction du type de projet, l'approche sécurité de vos données sera différente. Il existe des acteurs et des solutions pour chaque sujet, mais il faut avant tout se poser la question de « où est-ce que je me place », car les risques en termes de sécurité seront différents.
Un audit de vos besoins en amont est conseillé.

L'authentification dans le SaaS

L'authentification sur les projets SaaS est un vrai sujet. Le principe de l'application SaaS c'est son accessibilité, peu importe où vous vous trouvez, avec un simple login / mot de passe vous pouvez vous identifier.
C'est là où réside le problème en termes de sécurité. En cas de vol de vos identifiants, n'importe qui peut avoir accès à vos données et voler vos informations.
Heureusement le Cloud est plus mature aujourd'hui qu'il y a 10 ans et il existe de vraies solutions pour gérer l'authentification des services Cloud et lutter contre le vol de données.

Choix du porteur d'information

Aujourd'hui il est possible de choisir qui porte l'authentification en fonction des applications. C'est ce que l'on appelle communément la fédération d'identité.

Par exemple :
Vous aviez envie de monter un service Dropbox Business, mais vous ne vouliez pas qu'il dispose de vos mots de passe car vous ne leur faites pas assez confiance. Si ce cas-là se présente et que vous n'avez pas confiance dans l'infrastructure d'Azure AD (Active Directory), il est tout à fait possible de créer un trust via des protocoles web SSO (SAMIL) ente Dropbox Business et Azure AD.
Dans ce cas de figure les mots de passe se trouveront chez Azure AD qui informera Dropbox que l'authentification est autorisée.

Ici l'exemple a été pris avec Azure AD mais cela peut tout à fait être avec un serveur via un ADFS (Active Directory Federation Services). A ce moment-là, ce sont vos serveurs qui portent l'authentification des services Cloud.

Choix du porteur d'information

Ajout de fonctionnalités

Après avoir choisi qui porte l'authentification dans votre structure, vous pouvez ajouter des fonctionnalités :

• Faire du SSO (Single Sign-On)

Comme dit plus haut, le SSO permet de choisir qui porte l'authentification. Sa fonctionnalité première est de permettre à l'utilisateur d'accéder à un certain nombre d'applications avec une seule authentification. Il n'a ainsi qu'un seul mot de passe à mémoriser car cela permet de ne s'authentifier qu'une seule fois.
Vous obtenez ce que l'on appelle un jeton de connexion et vous n'avez plus jamais besoin de taper votre mot de passe.

Exemple :
Le matin vous ouvrez vous session Windows avec votre mot de passe dés lors vous êtes déjà authentifié sur le partage de document, l'ERP, Office 365, Dropbox, le CRM, etc. sans avoir à retaper vos identifiants. Le tout sans que ce ne soit une sauvegarde du mot de passe dans le navigateur.

• L'authentification forte

L'authentification forte est un procédé qui intègre trois facteurs d'authentification, en fonction de ce que l'utilisateur :
• Connait : mot de passe, question secrète, code pin etc....
• Possède : téléphone, badge, dongle etc...
• Est : empreinte digitale, iris, empreinte palmaire etc...

Lorsque l'utilisateur ouvre une application, l'authentification forte se déclenche et il doit autoriser la connexion via un système différent (application mobile ou code spécifique par exemple).
Cela est très intéressant car si l'utilisateur se fait voler son mot de passe, le hacker ne pourra pas voler les données car il faut aussi qu'il vole le téléphone portable de la personne avec l'application d'authentification forte. La sécurité est alors renforcée.
Bien évidemment il est possible d'ajuster cette authentification, en attribuant des ordinateurs de confiance, des zones géographiques, des IP, etc.., pour ne pas qu'elle devienne trop présente.

Ce qu'il est pertinent de retenir c'est que l'utilisation d'applications en mode SaaS ne se résume pas à un simple login / mot de passe en termes de sécurité. Il est aujourd'hui possible d'aller beaucoup plus loin en ajoutant des fonctionnalités pour garantir une sécurité dans le Cloud maximale.

Conclusion

En résumé :
• Il y a des questions importantes à se poser lorsqu'on choisit un provider Cloud en fonction de ses données notamment.
• Le risque n'est pas le même et ne se situe pas au même endroit en fonction du type de projet.
• De nombreuses fonctionnalités existent sur l'authentification pour aller plus loin qu'une simple sécurité avec un login / mot de passe.

La sécurité des données dans le Cloud est un sujet à part entière. Il existe aujourd'hui des solutions et des attitudes à avoir pour s'assurer un niveau de sécurité optimale. Par conséquent il est nécessaire de faire un état des lieux de votre sécurité actuelle et définir les points de vigilance pour apporter les actions correctrices fiables et efficaces.

Nos experts sécurité se tiennent à votre disposition pour effectuer un audit sécurité et trouver les solutions Cloud les plus adaptées à vos besoins.

Pour plus d'informations, contactez-nous !

Alix - Infrastructure

Par Alix

Expert Infrastructure et SI

Tout projet Infrastructure est un projet unique. Je serai là pour vous accompagner à chaque étape afin de créer ensemble une Infrastructure parfaitement adaptée à vos besoins métiers.

Les articles qui peuvent vous interesser

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.