Le Lab Compufirst : articles et informations pour les professionnels de l'informatique
La sécurisation des données dans le Cloud
La sécurité des données est une préoccupation majeure dans le monde de l'entreprise.
Mais qu'en est-il lorsque vos données se trouvent dans le Cloud ? Comment s'assurer qu'elles sont bien sécurisées ?
Lorsque vous choisissez d'externaliser tout ou partie de votre infrastructure dans le Cloud vous devez faire un choix de confiance.
Sécurité des données dans le Cloud : les questions à se poser
La première étape est de choisir un prestataire Cloud de confiance. Pour ce faire, il est important de se poser les bonnes questions :
• À qui je confie mes données ?
Est-ce que cet acteur est connu ? Quelle est sa
réputation ? Est-il nouveau sur le marché ?
• Quels sont les types de données que
j'externalise ? Quel est leur niveau de criticité
?
En fonction de la criticité des données qui seront
externalisées le choix sera différent.
Pour schématiser, si les données sont peu importantes et
peu risquées, vous pouvez opter pour un prestataire peu
cher car si il y a une fuite de données cela sera sans
gravité.
Au contraire si les données sont critiques, il sera
important d'orienter sa recherche différemment et faire
le choix de l'acteur en fonction des options de sécurité
que celui-ci propose, plus elles seront élevées et mieux
ce sera. Quitte à payer plus cher pour vous assurer une
sécurité optimale de vos données.
• Quels sont les engagements de sécurité du
provider Cloud ?
Généralement les Cloud provider fournissent un certain
nombre d'engagements que ce soit au niveau de la
disponibilité ou de la confidentialité des données. Une
fois en avoir pris connaissance reste à se poser la
question de la cohérence par rapports à vos besoins.
• La réversibilité est-elle envisageable
?
La réversibilité est un critère important à prendre en
compte lors de votre choix de prestataire. En effet si un
jour vous souhaitez rompre le contrat avec votre provider
Cloud, il faut savoir si il est possible d'exporter vos
informations et de changer de provider facilement ? Vous
devez absolument éviter d'être captif de votre Cloud
provider.
C'est pour cela que généralement, chez les grands acteurs
du marché, ces solutions de réversibilité existent.
Les différents types de projets Cloud
Il est facile de tout catégoriser comme « Cloud », mais il existe différents types de projets Cloud. Lorsque vous entreprenez un projet Cloud, vous avez une volonté de vous affranchir d'un certain nombre de tâches qui concerne la gestion de votre système informatique. Que ce soit pour des raisons de coûts, de ressources, ou de temps.
Voici les différents type de projets Cloud qui existent :
Le SaaS : Software as a Service
C'est lorsque que vous décidez de tout confier à un
prestataire externe, c'est le cas d'Office 365. La
gestion sera minime puisque la totalité des couches sera
confiée à Microsoft. L'autre avantage et que vous ne
gérez pas la montée en charge et la disponibilité de
l'application. Vous payez uniquement à l'utilisateur. Que
vous en ayez un ou 100, c'est transparent.
Le PaaS : Platform as a Service
Le Cloud provider fournit uniquement la plateforme (base
de données hautement disponibles, service d'hébergement
web...) et vous n'aurez simplement qu'à mettre votre
propre application dessus sans avoir à gérer la
plateforme d'hébergement et d'exécution de
l'application.
Vous administrez la montée en charge en attribuant des
ressources aux services web et aux bases de données en
fonction de vos besoins.
En effet cela est décorrélé du nombre d'utilisateurs dans
l'application et les coûts dépendent des performances
allouées. La disponibilité est gérée en choisissant le
taux de réplication et via des contrats de SLA. Cependant
il n'y a pas besoin d'être expert pour gérer les
performances et la disponibilité, ce ne sont que des
curseurs à déplacer et les services sont gouvernés par le
cloud provider derrière.
Le IaaS : Infrastructure as a
Service
Vous pouvez vous affranchir du hardware et faire le choix
de gérer le système d'exploitation, les bases de données,
les mises à jour etc...
Vous vous affranchissez de la gestion de vos ressources
matérielles, des dépenses associées pour pouvoir ensuite
commander, allouer et retirer des ressources très
facilement (RAM, CPU, disques...).
Pour plus de clarté :
Quel est le lien avec la sécurité dans le Cloud ?
Comme la gestion va différer en fonction du type de
projet, l'approche sécurité de vos données sera
différente. Il existe des acteurs et des solutions pour
chaque sujet, mais il faut avant tout se poser la
question de « où est-ce que je me place », car les
risques en termes de sécurité seront différents.
Un audit de vos besoins en amont
est conseillé.
L'authentification dans le SaaS
L'authentification sur les projets SaaS est un vrai
sujet. Le principe de l'application SaaS c'est son
accessibilité, peu importe où vous vous trouvez, avec un
simple login / mot de passe vous pouvez vous
identifier.
C'est là où réside le problème en termes de sécurité. En
cas de vol de vos identifiants, n'importe qui peut avoir
accès à vos données et voler vos informations.
Heureusement le Cloud est plus mature aujourd'hui qu'il y
a 10 ans et il existe de vraies solutions pour gérer
l'authentification des services Cloud et lutter contre le
vol de données.
Choix du porteur d'information
Aujourd'hui il est possible de choisir qui porte l'authentification en fonction des applications. C'est ce que l'on appelle communément la fédération d'identité.
Par exemple :
Vous aviez envie de monter un service Dropbox Business,
mais vous ne vouliez pas qu'il dispose de vos mots de
passe car vous ne leur faites pas assez confiance. Si ce
cas-là se présente et que vous n'avez pas confiance dans
l'infrastructure d'Azure AD (Active Directory), il est
tout à fait possible de créer un trust via des protocoles
web SSO (SAMIL) ente Dropbox Business et Azure AD.
Dans ce cas de figure les mots de passe se trouveront
chez Azure AD qui informera Dropbox que
l'authentification est autorisée.
Ici l'exemple a été pris avec Azure AD mais cela peut tout à fait être avec un serveur via un ADFS (Active Directory Federation Services). A ce moment-là, ce sont vos serveurs qui portent l'authentification des services Cloud.
Ajout de fonctionnalités
Après avoir choisi qui porte l'authentification dans votre structure, vous pouvez ajouter des fonctionnalités :
• Faire du SSO (Single Sign-On)
Comme dit plus haut, le SSO permet de choisir qui porte l'authentification. Sa fonctionnalité première est de permettre à l'utilisateur d'accéder à un certain nombre d'applications avec une seule authentification. Il n'a ainsi qu'un seul mot de passe à mémoriser car cela permet de ne s'authentifier qu'une seule fois.
Vous obtenez ce que l'on appelle un jeton de connexion et vous n'avez plus jamais besoin de taper votre mot de passe.
Exemple :
Le matin vous ouvrez vous session Windows avec votre mot de passe dés lors vous êtes déjà authentifié sur le partage de document, l'ERP, Office 365, Dropbox, le CRM, etc. sans avoir à retaper vos identifiants. Le tout sans que ce ne soit une sauvegarde du mot de passe dans le navigateur.
L'authentification forte
L'authentification forte est un procédé qui intègre trois facteurs d'authentification, en fonction de ce que l'utilisateur :
• Connait : mot de passe, question secrète, code pin etc....
• Possède : téléphone, badge, dongle etc...
• Est : empreinte digitale, iris, empreinte palmaire etc...
Lorsque l'utilisateur ouvre une application, l'authentification forte se déclenche et il doit autoriser la connexion via un système différent (application mobile ou code spécifique par exemple).
Cela est très intéressant car si l'utilisateur se fait voler son mot de passe, le hacker ne pourra pas voler les données car il faut aussi qu'il vole le téléphone portable de la personne avec l'application d'authentification forte. La sécurité est alors renforcée.
Bien évidemment il est possible d'ajuster cette authentification, en attribuant des ordinateurs de confiance, des zones géographiques, des IP, etc.., pour ne pas qu'elle devienne trop présente.
Ce qu'il est pertinent de retenir c'est que l'utilisation d'applications en mode SaaS ne se résume pas à un simple login / mot de passe en termes de sécurité. Il est aujourd'hui possible d'aller beaucoup plus loin en ajoutant des fonctionnalités pour garantir une sécurité dans le Cloud maximale.
Conclusion
En résumé :
• Il y a des questions importantes à se poser lorsqu'on choisit un provider Cloud en fonction de ses données notamment.
• Le risque n'est pas le même et ne se situe pas au même endroit en fonction du type de projet.
• De nombreuses fonctionnalités existent sur l'authentification pour aller plus loin qu'une simple sécurité avec un login / mot de passe.
La sécurité des données dans le Cloud est un sujet à part entière. Il existe aujourd'hui des solutions et des attitudes à avoir pour s'assurer un niveau de sécurité optimale. Par conséquent il est nécessaire de faire un état des lieux de votre sécurité actuelle et définir les points de vigilance pour apporter les actions correctrices fiables et efficaces.
Par Alix
Expert Infrastructure et SI
Tout projet Infrastructure est un projet unique. Je serai là pour vous accompagner à chaque étape afin de créer ensemble une Infrastructure parfaitement adaptée à vos besoins métiers.