SPONSORISÉ En collaboration avec Acceleris et Oracle

Le cloud c’est l’ordinateur de quelqu’un d’autre

par Stefan Marx, Senior Technical Consultant, CISSP, Acceleris

Au moment où on met ses données dans le cloud, on en perd le contrôle. Beaucoup d’entreprises oublient vite cette ­réalité lorsque les premiers effets positifs du cloud computing apparaissent. Il est donc essentiel de répondre à certaines questions clés concernant ses données avant de les confier à un prestataire.

Il ne se passe presque pas un jour sans un article parlant de la "richesse des données" dans la presse. On entend par là ce moment où toutes les données d’une entreprise sont à la disposition de chacun sur internet – très souvent, ces données se trouvent dans "le cloud". Une entreprise préférerait bien sûr éviter à tout prix cette situation, mais elle doit aussi veiller à rester efficace et compétitive. Et, pour accroître l’efficacité et optimiser les ressources, le cloud computing sous toutes ses formes s’impose inéluctablement. A quoi faut-il dès lors veiller pour éviter de faire la une des journaux avec une méga-catastrophe concernant sa base de données? Qu'est-ce qui importe vraiment? Comme souvent, la réponse n’est pas simple.

Le chiffrement n’est pas une protection absolue

Tout d’abord, il faut être parfaitement conscient que l’on perd le contrôle de ses données. Il ne faut pas l'oublier: le chiffrement protège les données non utilisées et les sécurise durant leur transmission. Dans le lieu de leur traitement, les données ne sont en revanche jamais chiffrées. Même le meilleur chiffrement n’y peut rien, qui a accès à la mémoire, a aussi accès aux données.

La question qui suit est donc de déterminer qui a accès à cette mémoire. Dans tous les cas, le fournisseur de cloud et, en fonction de la situation juridique dans le pays du fournisseur, les autorités du pays en question.

Cela conduit à la question de la confiance: à qui dois-je confier mes données? L’externalisation est-elle compatible avec l’obligation de diligence? Le fournisseur cloud dispose-t-il des compétences nécessaires en matière de sécurité? Existe-t-il des certifications ISO pertinentes? Des contrats de service (SLA) sont-ils proposés?

Classer les données selon leur sensibilité

Ayant ces questions à l’esprit, il s’agit dès lors de classer les données en fonction de leur confidentialité. Ensuite, le processus de protection s’effectue de manière classique selon les principes "need to know" et "least privilege", déterminant les données qui peuvent être externalisées et celles qui peuvent uniquement être traitées en interne. Des demandes de brevet récemment préparées n’ont pas leur palce sur un espace de stockage cloud.

Une fois les données à stocker dans le cloud clairement définies, il convient de veiller à ce qu'elles ne puissent être manipulées sans autorisation - ou que les manipulations soient détectées immédiatement. Les mêmes règles s’appliquent que pour sa propre infrastructure: la mise en œuvre technique du chiffrement et des contrôles d'intégrité doivent respecter les normes les plus récentes et les plus strictes. Des calculs manipulés d'un composant de support pourraient procurer aux concurrents des avantages inouïs sur le marché. Faire contrôler régulièrement le respect de ces règles par un auditeur indépendant est assurément un bon investissement.

Ce qui importe vraiement pour la sécurité dans cloud

Celui qui applique correctement ces consignes et classe les données en fonction de leur "capacité cloud" dans sa politique de sécurité, mise incontestablement sur la sécurité. Il va de soi que des mesures de sécurité identiques voire plus strictes que celles des systèmes internes doivent être définies pour les serveurs et le stockage dans le cloud. Encore une fois, il n’y a pas de mal à réaliser un audit externe; une partie indépendante est moins sujette à l’aveuglement que l’entreprise elle-même.

Ce qui importe vraiment est donc de savoir qu’un cloud est l’ordinateur de quelqu'un d’autre, d’en tirer les conclusions qui s’imposent et de définir clairement ce que l’on y fait et ce qu’il vaut mieux ne pas y faire.

Webcode
DPF8_137126