Les différents modèles de la sécurité du Cloud Public

La sécurité dans un modèle Infrastructure as a Service

La sécurité dans le modèle IaaS se décompose en 3 niveaux :

  • La sécurité propre au fournisseur de IaaS (ses Datacenters, la protection Ddos, son architecture, son Patch Management, la formation de ses équipes, …),
  • La sécurité qui est proposée nativement au Client dans son offre IaaS (les fonctions de pare-feu, les habilitations et gestion d’identités, les services de sécurité en mode aaS, par exemple un VPNaaS, un FirewallaaS, …)
  • La sécurité proposée par des tiers, mais qui fonctionne sur l’infrastructure IaaS, qui est en fait un catalogue de solutions de sécurité tierce qui est validée dans le IaaS. A ce jour beaucoup de solutions de sécurité sont disponibles dans les principales solutions de Cloud Public, comme pour AWS, Azure, Google compte et les Cloud publics basés sur OpenStack (Orange Flexible Engine & Orange Cloud, OVH public Cloud, Deutsche Telekom Open Telekom, …)

Les principales responsabilités qui incombent à un Client dans un modèle IaaS concernent  :

  • La gestion des habilitations pour l’accès à ses environnements via la Console mise à disposition par le fournisseur Cloud et pour l’accès aux applications
  • La mise en oeuvre de solution de patch management
    • au niveau des OS utilisés et des middlewares
    • au niveau des applications utilisées
  • Le chiffrement des données stockées
  • Les solutions d’anti-virus et anti-malwares
  • Les tests de sécurité (vulnérabilités)
  • Les tests de pénétration au niveau applicatif et tests de vulnérabilité

Dans ce contexte, le IaaS peut répondre aux problématiques de sécurité informatique, notamment pour les PME. La sécurité du Cloud public offre de nouvelles opportunités de migration dans le Cloud avec un partage clair des responsabilités dans un modèle IaaS. C’est le cas de Nuabee, un fournisseur français de plans de secours informatique basé sur le Cloud Public d’OBS, dont la sécurité fait partie intégrante de la solution, notamment avec le chiffrement des données à la source, le stockage dans des datacenters certifiés et soumis aux règlementations européennes.

La sécurité dans un modèle Software as a Service

  • De plus en plus d’éditeurs « packagent » leurs solutions en mode SaaS, c’est-à-dire sous une forme d’abonnement mensuel (ou annuel) :
    • Derrière cette évolution de modèle de facturation, les réalités techniques sont très, très hétérogènes.
    • Office 365 est une solution SaaS, mais l’éditeur qui offre une solution de gestion des états des lieux sur des serveurs hébergés dans son garage est aussi potentiellement une solution SaaS …
  • Donc en mode SaaS, il faut avoir 2 approches différentes au niveau sécurité :
    • Pour les grands éditeurs (Microsoft, Oracle, Cegid, …), il faut analyser plutôt la conformité réglementaire, les engagements contractuels.
    • Pour les autres, cela nécessite d’analyser finement les contrats, de leur envoyer un questionnaire de sécurité, voire de demander un audit s’il y a des enjeux importants sur les données manipulées

Quelle sécurité pour les services de messagerie et de backup en mode SaaS ?

  • Les données de messagerie (Office365 ou G Suite) sont chiffrées quand elles transitent via le réseau (SSL/TLS) et quand elles sont stockées (en général avec une clé AES 256 bits).
  • Les données des services professionnels de partage et synchronisation de données offrent également des niveaux de chiffrement identiques.
  • Deux cas de figure se retrouvent :
    • Soit c’est le fournisseur qui détient la clef de chiffrement (exemple Office365, Google ou Dropbox), donc il a potentiellement les moyens de déchiffrer vos données, par exemple en cas de demande expresse de la part des autorités, y compris celles extraterritoriales (américaines par exemple)
    • Soit c’est vous qui choisissez les clefs de chiffrement (c’est le cas pour la solution Box et Nuabee), et donc dans ce cas vous êtes autonome : c’est le principe de TNO (Trust No One ou ne faites confiance à personne).
COPYRIGHT YSOSECURE © 2002 - 2021