Chapitre 4

Sécurité du cloud
Plan
◼ Big Data
◼ Cloud computing
◼ Menaces et recommandations selon CSA
◼ Risques selon ENISA
◼ Risques engendrant les plus forts impacts
◼ Normes dans le cloud
◼ Quelques solutions de sécurité offertes par les opérateurs
de Cloud public

2
 Big Data (1)
◼ Big data ou mégadonnées (données massives) : l'ensemble
des données numériques produites par l'utilisation des nouvelles
technologies à des fins personnelles ou professionnelles

◼ Regroupe :
 des données d'entreprise (courriels, documents, bases de données,
historiques de processeurs métiers, ...),
 des données issues de capteurs,
 des contenus publiés sur le web (images, vidéos, sons, textes),
 des transactions de commerce électronique,
 des échanges sur les réseaux sociaux,
 des données transmises par les objets connectés (étiquettes
électroniques, compteurs intelligents, smartphones, ...),
 des données géolocalisées,
 etc.
3
 Big Data (2)
◼ L'expression « Big Data » date de 1997 selon l'Association for
Computing Machinery

◼ En 2001, l'analyste du cabinet Meta Group, Doug Laney décrivait les

big data d'après le principe des « trois V » :

 le Volume de données de plus en plus massif;

 la Variété de ces données qui peuvent être brutes, non structurées ou
semi-structurées ;
 la Vélocité qui désigne le fait que ces données sont produites, récoltées
et analysées en temps réel.

◼ Certaines entreprises ajoutent un quatrième « V » pour la Véracité

→ la nécessité de vérifier la crédibilité de la source et la qualité du
contenu afin de pouvoir exploiter ces données
4
Big Data (3)

◼ Problème :

 Chaque jour, 2,5 trillions d’octets de données sont générées ;

◼ Données les plus demandées : documents (84%), transactions
commerciales (82%), emails (74%)
 Aucun outil classique de gestion de base de données ou de gestion
de l’information ne peut gérer cette quantité très volumineuse de
données

◼ L'essor des big data a suivi l'évolution des systèmes de stockage

et de traitement des données avec notamment l'avènement
du cloud computing et des supercalculateurs

5
Cloud computing (1)

◼ L'informatique en nuage (ou nuagique ou infonuagique)

◼ Consiste à utiliser des serveurs informatiques distants par

l'intermédiaire d'un réseau, généralement Internet, pour stocker
des données ou les exploiter

◼ La nouvelle forme de stockage de données

◼ De manière générale, on parle de Cloud Computing lorsqu’il est

possible d’accéder à des données ou à des programmes depuis
internet

6
Cloud computing (2)
◼ Modèle traditionnel vs. Modèle Cloud :
 Les données ne sont plus stockées dans les serveurs de l’entreprise
 Accès aux données via un navigateur web
 Emergence d’entreprises qui proposent les ressources de leurs
infrastructures sous forme de services (fournisseurs de cloud)

7
Cloud computing (3)
◼ 3 Modèles de services :

 Software as a Service (SaaS)

 Platform as a Service (PaaS)
 Infrastructure as a Service (IaaS)

◼ 4 modèles de dépoilements :

 Public
 Privé
 Communautaire
 Hybride

8
Cloud computing (4)
◼ Modèle de services : Software as a Service (SaaS)
 Logiciel sous forme de service

 Une offre de cloud computing qui donne aux utilisateurs l'accès

aux logiciels en cloud d'un fournisseur

 Les utilisateurs n'installent pas les applications sur leur terminal

 Les applications résident sur un réseau cloud distant auquel ils

accèdent par le biais d’une interface web

 Les applications disponibles peuvent être nombreuses :

messagerie, partage de documents, réseaux sociaux, etc.
9
 Cloud computing (5)
◼ Principales caractéristiques SaaS :

 Les logiciels et applications sont proposés aux utilisateurs par les

fournisseurs de SaaS selon un modèle par abonnement
 Les utilisateurs n'ont pas à gérer, installer ou mettre à niveau les
logiciels ; ce sont les fournisseurs qui s'en chargent
 Les données sont sécurisées dans le cloud; une panne d'un
équipement n'entraîne pas de perte de données
 L'utilisationdes ressources peut être dimensionnée en fonction
des besoins de l'entreprise
 Les applications sont accessibles depuis presque n'importe quel
terminal connecté à Internet et depuis virtuellement n'importe où
dans le monde
10
Cloud computing (6)
◼ Modèle de services : Platform as a Service (PaaS)

 Plateforme sous forme de service

 Une offre de cloud computing qui fournit aux utilisateurs un

environnement cloud dans lequel ils peuvent développer, gérer et
mettre à disposition des applications

 C’est un environnement informatique en location

11
 Cloud computing (7)
◼ Principales caractéristiques PaaS :

 Le PaaS offre une plateforme avec des outils pour tester,

développer et héberger les applications dans le même
environnement
 Permet aux entreprises de se concentrer sur le développement
sans avoir à se soucier de l'infrastructure sous-jacente
 Les fournisseurs gèrent la sécurité, les systèmes d'exploitation, les
logiciels de serveur et les sauvegardes
 Facilite le travail collaboratif même lorsque les équipes travaillent
à distance

12
Cloud computing (8)
◼ Modèle de services : Infrastructure as a Service (IaaS)

 Infrastructure sous forme de service

 L’infrastructure est louée par le client et hébergée chez le

fournisseur de cloud

 Une offre de cloud computing dans laquelle un fournisseur offre

aux utilisateurs l'accès à des ressources informatiques comme des
serveurs du stockage et de l'équipement de réseau

13
 Cloud computing (9)
◼ Principales caractéristiques IaaS :

 Au lieu d'acheter le matériel, les utilisateurs paient pour l'IaaS à la

demande

 L'infrastructure est évolutive en fonction des besoins de

traitement et de stockage

 Les entreprises économisent les coûts d'achat et de maintenance

de leur propre matériel

14
Cloud computing (8)
◼ Modèle de déploiement : Public

 Dans un cloud public, l’environnement est entièrement détenu par

la société qui met à disposition ses services cloud
 Les utilisateurs et clients d’un cloud public n’ont de droit ni sur
l’infrastructure, ni sur le matériel, ni sur les logiciels
 Le fournisseur de cloud met à disposition des utilisateurs des
ressources
15
Cloud computing (9)
 Le fournisseur de cloud conçoit, gère, maintient et fait évoluer ses
ressources en fonction des besoins des clients au fil du temps

 Dans le domaine du cloud public, la sécurité est la clé de voute

 L’infrastructure étant partagée avec de nombreux clients la

sécurité est de la responsabilité du fournisseur qui en assure la
gestion

 Le client n’a qu’un degré de contrôle et de surveillance très faibles

 Le fournisseur doit donc tout mettre en œuvre pour garder la

confiance de ses utilisateurs

16
Cloud computing (10)
◼ Modèle de déploiement : Privé

 Un cloud privé est détenu par l’entreprise utilisatrice

 Cela nécessite d’acheter, de construire et de maintenir l’ensemble
de ses constituants
→ supporter un investissement initial très important
17
Cloud computing (11)
 Avec un cloud privé, les réseaux, serveurs, et infrastructures de
stockage qui lui sont associés sont dédiés à une seule entreprise et
ne sont pas partagés avec d’autres

 Puisque le cloud est entièrement contrôlé par l’entreprise elle-

même, les risques de sécurité associés à un cloud privé sont
minimisés

 Un cloud privé peut être interne ou externe :

◼ Le Cloud Privé Interne revient pour l'entreprise à investir dans
une infrastructure qui lui est propre et de la mettre en libre
service auprès de ses utilisateurs et des services métiers
◼ Le Cloud Privé Externe signifie que cette infrastructure est
hébergée en dehors de l'entreprise par un fournisseur de
service 18
Cloud computing (12)
◼ Modèle de déploiement : Communautaire

 C’est une forme hybride de cloud privé construit et exploité

spécifiquement pour un groupe restreint et ciblé (communauté)
 Ces communautés ont des exigences semblables et réunissent
leurs moyens humains et financiers pour atteindre leurs objectifs
communs
19
Cloud computing (13)

 Exemple :

◼ des organismes gouvernementaux,

◼ des hôpitaux,

◼ des entreprises de télécommunication,

◼ …

→ auraient des contraintes de réseau, de sécurité, de stockage,

de calcul ou d’automatisation similaires, ils pourraient trouver
des intérêts communs à déployer collectivement un cloud
communautaire

20
Cloud computing (14)
◼ Modèle de déploiement : Hybride

 Un cloud hybride est la combinaison de plusieurs modèles de

déploiement de clouds

21
Cloud computing (15)

 Avec un cloud hybride, une entreprise peut tirer parti de la

simplicité et du faible coût d’un cloud public :
◼ pour héberger des services classiques ne requérants pas de
précautions particulières

 touten créant son propre cloud privé

◼ pour des applications étroitement intégrées aux systèmes
existants ou pour le stockage de données sensibles

22
Cloud computing (16)

23
Cloud computing (17)
◼ Avantages :
 Flexibilité (élasticité):
◼ Il est possible d'adapter les moyens informatiques (espace de
stockage, fonctionnalité, capacité de traitement …) en fonction
de la demande et très rapidement à la hausse comme à la baisse

 Mise à jour transparente des composants applicatifs :

◼ Les évolutions du produit sont réalisées par l'hébergeur

◼ Chaque utilisateur bénéficie ainsi de la version la plus à jour du

produit

 Adapté au travail en mobilité (accessibilité) :

◼ Les services de Cloud Computing sont accessibles à tout
moment, sur tous les supports, via une connexion internet 24
Cloud computing (18)
 Utilisation
plus efficace des ressources informatiques :
◼ Centres de données centralisés

◼ Meilleur contrôle des documents

 Réduction des coûts d’investissement et d’infrastructures

récurrents :
◼ Installation de l'infrastructure et des applicatifs

◼ Maintenance, exploitation des serveurs et des applications

 Collaboration accrue :
◼ Une enquête a montré que les entreprises qui ont investi dans
les technologies de collaboration ont bénéficié d'un retour sur
investissement de 400%

25
Cloud computing (19)

 Récupération des données :

◼ Une étude a montré que les entreprises qui utilisaient le cloud
parvenaient à résoudre leurs problèmes en 2,1heures en
moyenne, soit presque quatre fois plus rapidement que les
entreprises qui n'y avaient pas recours (8heures)

 Disponibilité du service :
◼ Le Cloud Computing permet de garantir les accès et la
disponibilité des services
◼ Le fournisseur s’engage contractuellement sur une interruption
minimum des serveurs

26
Cloud computing (20)

 Sécurité :
◼ les fournisseurs garantissent aux utilisateurs un très haut degré
de sécurité des données avec le chiffrement des données, la
surveillance logicielle et la sécurisation des lieux de stockage

27
Cloud computing (21)
◼ Problématique :

 Où se trouvent les données ?

◼ Dans quel pays (ou quelle région) le fournisseur des services
Cloud Computing est localisé ?
◼ Est-ce que le fournisseur des services Cloud est autorisé à
utiliser une infrastructure localisée en dehors du pays de la
région du contrat?
◼ Est-ce que certains des services Cloud Computing offerts sont
sous-traités localement ou ailleurs?
 Qui a accès à mes données ?
 Est-ce que les données sont répliquées de manière
automatique dans le cloud?
28
Cloud computing (22)
 Quelles réglementations s’appliquent à mes données ?

 Comment récupérer mes données ?

◼ En cas de disparition de mon hébergeur
◼ En cas d’attaque DDOS sur l’hébergeur

 La confidentialité et l’intégrité des données sont elles

garanties ?

 Quelva être le sort des données stockées dans le Cloud

Computing à la fin du contrat?

29
 Cloud computing (23)

◼ Aux Etats Unis, ~80% des hébergeurs pensent que c’est au client de
sécuriser ses données

◼ En France, ~80% des clients, pensent que c’est à l’hébergeur de

sécuriser ses données

→ De façon générale, l’avenir est encore incertain en ce qui concerne

la sécurité dans le Cloud Computing
→Le Cloud Computing ne permet pas de garantir une confidentialité,
une intégrité et une sécurité totales des données stockées
→ En outre, la localisation des serveurs de stockage est méconnue du
client
30
 Menaces et recommandations selon
CSA (Cloud Security Alliance) (1)
1. Perte ou fuite de données
 N’importe quel accident ou cyber attaque entraînant l’exposition,
le vol ou l’utilisation de données sensibles ou confidentielles par
un individu non autorisé
 Les fuites de données peuvent nuire à la réputation d’une
entreprise, et atténuer la confiance que lui portent ses clients et ses
partenaires
 Recommandations :
◼ bien définir la valeur des données de l’entreprise et mesurer les
conséquences d’une perte éventuelle
◼ Une attention toute particulière doit être prêtée aux données accessibles via
internet, car ce sont les plus vulnérables à la mauvaise configuration ou à
l’exploitation
◼ mettre en place un plan afin de pouvoir immédiatement réagir en cas de
fuite de données 31
 Menaces et recommandations selon
CSA (2)
2. Interfaces et API non sécurisés

 les APIs sont les parties les plus exposées d’un système
informatique
 il s’agit généralement du seul asset disposant d’une adresse IP
publique accessible
 Il est donc essentiel de concevoir ces interfaces de façon à ce
qu’elles soient protégées des cyber attaques et autres incidents de
sécurité
 Recommandations :
◼ superviser le processus de développement d’une API tels que
le testing, l’audit et la protection contre les activités suspectes
32
 Menaces et recommandations selon
CSA (3)
3. Menaces internes

 Si les cyber attaques en provenance de l’extérieur représentent un

réel danger, c’est bien souvent à l’intérieur de l’entreprise que se
cache la plus grande menace

 un employé mal intentionné n’aura pas besoin de franchir le

firewall et les autres mesures de sécurité mises en place

 Il lui suffira de profiter de la confiance que lui accorde l’entreprise

pour accéder directement aux réseaux, aux systèmes informatiques
et aux données sensibles
33
Menaces et recommandations selon
CSA (4)
 Recommandations :

◼ Entraîner les équipes de sécurité à installer, configurer et

surveiller correctement les systèmes informatiques, les réseaux,
les appareils mobiles et même les appareils de backup

◼ Les autres employés peuvent eux aussi être formés aux

différents risques de sécurité tels que le phishing et à protéger
les données de l’entreprise qu’ils stockent sur leurs appareils
personnels

◼ Limiter l’accès privilégié aux systèmes de sécurité et aux

serveurs centraux à un strict minimum d’employés
34
 Menaces et recommandations selon
CSA (5)
4. Piratage de compte
 En utilisant la technique du «hijacking» de compte, les
cybercriminels peuvent aisément obtenir l’accès à des comptes
disposant des privilèges les plus élevés ou permettant d’accéder
aux données les plus sensibles

 Siun hacker parvient à accéder à un compte, il en prendra le

contrôle total. Il pourra aussi accéder aux fonctions, données et
applications reposant sur ce compte

 Recommandations :
◼ contrôler minutieusement les différents identifiants d’accès et
les privilèges distribués au sein de l’entreprise
35
 Menaces et recommandations selon
CSA (6)

5. Problèmes dus au partage de technologie

 les fournisseurs cloud offrent leurs services de manière

évolutive en partageant une infrastructure physique, des plates-
formes ou des applications
 les composants de l’infrastructure peuvent ne pas offrir
l’isolement nécessaire pour être utilisés par plusieurs clients
→ peut entraîner des vulnérabilités de technologies partagées

36
 Menaces et recommandations selon
CSA (7)
6. Mauvaise configuration
 La mauvaise configuration des infrastructures Cloud représente un
risque, car elle peut les laisser vulnérables aux activités
malveillantes
 Ex. stockage Cloud mal sécurisé, permissions mal attribuées,
identifiants d’authentification par défaut non modifiés, contrôles
de sécurité désactivés, ou encore à un système qui n’est pas mis à
jour

 Recommandations :
◼ Adopter les technologies comme l’automatisation afin de
scanner en continu les ressources pour détecter toute mauvaise
configuration et la modifier aussitôt
37
Les risques selon ENISA (1)

◼ ENISA : European Network and Information Security Agency

◼ 35 risques identifiés

◼ ENISA classe les 35 risques liés au Cloud Computing en 4

catégories :

 Risques politiques et organisationnels

 Risques techniques
 Risques légaux
 Risques non spécifiques au cloud

38
Risques engendrant les plus forts
impacts (1)
◼ Perte de la gouvernance (Organisationnel)
 En utilisant le cloud computing, le client cède nécessairement le
contrôle de la sécurité au fournisseur du cloud
 Ce dernier peut ne pas fournir toutes les garanties de sécurité
promises au client
 De plus, le fournisseur cloud peut sous-traiter des services à des
tiers (fournisseurs inconnus) qui peuvent ne pas offrir les mêmes
garanties de sécurité que celles émises par le fournisseur de cloud
 Impacts :
◼ Impossibilité de se conformer aux exigences de sécurité
◼ Manque de confidentialité, d'intégrité et de disponibilité des données
et une détérioration des performances et de la qualité de service
◼ Défis de conformité
39
Risques engendrant les plus forts
impacts (2)
◼ Problèmes d’isolation virtuelle (Technique)
 Le stockage, la capacité de calcul et le réseau sont partagés entre
plusieurs utilisateurs
 Absence de mécanismes d’isolement entre les différents locataires
 Attaque SQL injection exposant les données de plusieurs clients
stockées dans la même table
 Ce risque dépend du modèle de cloud adopté : risque faible pour
un cloud privé et risque plus élevé pour un cloud public
 Impacts :
◼ Perte de données précieuses ou sensibles
◼ Des dommages à la réputation
◼ Une interruption de service pour les fournisseurs de cloud et leurs
clients 40
Risques engendrant les plus forts
impacts (3)
◼ Employés malveillants côté fournisseur de cloud
(Technique)
 Dans une architecture cloud, certains employés ont des privilèges
très élevés (les administrateurs et auditeurs du système cloud, les
fournisseurs de services de sécurité traitant des rapports de
détection d'intrusion et de la réponse aux incidents, …)
 Ces employés ont des accès privilégiés peuvent effectuer
facilement des attaques internes
 Impacts :
◼ Impact sur la confidentialité, l’intégrité et la disponibilité sur
n’importe quels types de données ou de services
◼ Nuire à la réputation de l’organisation et à la confiance des clients

41
Risques engendrant les plus forts
impacts (4)
◼ Compromission d’interface de gestion (Technique)
 Les interfaces de gestion client du fournisseur de cloud public
sont accessibles via Internet et assurent l'accès à un ensemble de
ressources très importants
 Ces interfaces présentent un risque accru, en particulier lorsqu'ils
sont combinés avec l'accès à distance et les vulnérabilités du
navigateur Web
 Impacts :
◼ Impact sur la réputation du fournisseur du cloud et sur la confiance
des ses clients
◼ Données personnelles du client corrompues
◼ Impact sur la disponibilité du service
42
Risques engendrant les plus forts
impacts (5)
◼ Interception de données en transit (Technique)
 Le cloud computing, étant une architecture distribuée, implique
plus de données en transit que les infrastructures traditionnelles
 Les données doivent être transférées afin de synchroniser
plusieurs images de machines distribuées, entre l'infrastructure
cloud et les clients Web distants, etc.
 Peu de fournisseurs de cloud utilisent la technique de VPN afin de
sécuriser le transfert des données
 Impacts :
◼ Plusieurs attaques : sniffing, spoofing, man in the middle, attaques
de rejeu, …
◼ Non protection des données des clients
◼ Impact sur la réputation du fournisseur et sur la confiance des clients
43
Risques engendrant les plus forts
impacts (6)

◼ Problèmes liés à la mauvaise gestion du réseau (Non

spécifique au cloud)
 Interruption des services
 L'un des risques les plus élevés! Des milliers de clients sont
potentiellement concernés en même temps

◼ Les catastrophes naturelles (non spécifique au cloud)

 De manière générale, le risque de catastrophes naturelles est plus
faible au niveau d’une infrastructure cloud par rapport aux
infrastructures traditionnelles
 Les fournisseurs de cloud proposent par défaut plusieurs sites et
chemins de réseau redondants
44
Risques engendrant les plus forts
impacts (7)

◼ Réquisitions judiciaires (Légal)

 Problèmes dues à la localisation des données dans multiples

endroits
 Multiples juridictions sur ces données
 Manque d’informations sur les juridictions
 Impacts :
◼ Confiscation de matériel physique à la suite d'une assignation à
comparaître par des forces de l'ordre ou des poursuites civiles
◼ Divulgation des données des clients à des parties indésirables

45
Recommandation générale

Comme pour toute externalisation de l'hébergement et de la

conservation de données, il est important de mener en amont
une étude de risques afin de définir le niveau de sécurité
adapté pour chaque type de données, voire de déterminer si
une donnée peut ou non être placée dans le nuage, tout en
gardant à l'esprit le fait que la sécurité des données en interne
n'est pas forcément meilleure et plus fiable que celle offerte par
un prestataire de Cloud Computing.

46
Engagement du prestataire

Le prestataire du Cloud Computing doit mettre en œuvre les

moyens techniques, juridiques et organisationnels
permettant d’assurer le niveau de sécurité attendu par le
client tout au long de la vie du contrat

47
 Normes dans le cloud (1)
◼ Les utilisateurs de service cloud ont un réel besoin d’être rassurés
quant à la sécurité des offres cloud, notamment sur la confidentialité,
l’intégrité et la disponibilité de l’information

◼ Etant donnée la diversité des offres (IaaS, PaaS, SaaS,..), le nombre

important d’acteurs impliqués dans cet écosystème et la complexité
des contrats cloud, les clients réclament plus de clarté et de lisibilité

◼ La certification des services cloud d’un fournisseur selon des normes

bien établies est un facteur important permettant de renforcer cette
confiance

→ Besoin réel de normalisation

48
Normes dans le cloud (2)

◼ Norme ISO

 Il n'y a pour le moment pas de norme ISO standardisant

explicitement le cloud
 Cette prochaine norme est en cours de création et permettra de
standardiser le cloud de manière à rendre disponible une API
unique pour l'utilisation de plusieurs fournisseurs de cloud mais
également définir la sécurité requise pour le cloud
 Néanmoins, les fournisseurs de cloud concrétisent leur niveau de
sécurité en obtenant des normes sur la sécurité de l'information
applicables en partie sur le cloud

49
Normes dans le cloud (3)
◼ ISO 7498-2 : plus connue sous le nom de Modèle OSI. Elle définit
l'exigence en termes de sécurité sur des thèmes comme : l'identification, les
autorisations, la confidentialité, la disponibilité, l'intégrité et la non-
repudiation. La sécurité du cloud peut être guidée par cette norme afin
d'être efficace et sécurisée
◼ ISO/CEI 27001 : norme reconnue à l'échelle internationale pour
l'évaluation de la sécurité des environnements informatiques. Elle est basée
sur les méthodes de gestion de la sécurisation de l'information, la
confidentialité, l'intégrité et la disponibilité
◼ ISO/CEI 27017 : norme traitant spécifiquement des aspects de la sécurité
de l’information du nuage
◼ ISO/CEI 27018 : norme récente corollaire à ISO 27001 et elle concerne
les prestataires des services Cloud public. Elle propose un ensemble de
bonnes pratiques pour la protection des informations personnelles
identifiables.
50
Normes dans le cloud (4)

◼ SLA (Service Level Agreement)

 La sécurité dans le cloud peut être définie dans le SLA, afin de

garantir les niveaux de sécurité pour chaque service et entre les 2
parties :
 Le prestataire ou le fournisseur de cloud : la société proposant
une offre cloud

 Le client : le particulier ou la société qui investit dans une offre

cloud afin d'y héberger des données potentiellement
confidentielles ou personnelles

→ Il s’agit d’un contrat de service entre les 2 parties

51
Normes dans le cloud (5)

◼ Dans le SLA, il faut définir de façon très précise différents

indicateurs de qualité pouvant être mesurés, analysés et
contrôlés régulièrement

◼ Il convient aussi de prévoir des sanctions qui seront appliquées

si le prestataire ne répond pas à ses obligations mentionnées
dans le SLA

52
 Les clouds publics sont ils vraiment
sûrs? (1)
◼ Les clouds publics sont suffisamment sécurisés pour la plupart des
charges de travail, mais ils ne sont pas pour autant adaptés à tous les
cas

 Un cloud public n’est pas isolé comme comme un cloud privé

 Un cloud public vous permet de prendre en charge plusieurs
clients
 En d'autres termes, vous pouvez « louer » de la puissance de calcul
(ou de l'espace de stockage) auprès du fournisseur de cloud en
même temps que d'autres « clients »
 Chaque client signe avec le fournisseur de cloud un contrat de
niveau de service qui indique les responsabilités de chacun 53
 Les clouds publics sont ils vraiment
sûrs? (2)
◼ Même principe que pour la location d'un appartement auprès d'un
propriétaire
 Le propriétaire (fournisseur de cloud) s'engage à entretenir le bâtiment
(infrastructure cloud), à conserver les clés (accès), sans pour autant
s'immiscer dans la vie privée (confidentialité) du locataire (client)
 En retour, le locataire promet d'éviter toute action susceptible de
corrompre l'intégrité du bâtiment ou de déranger les autres locataires
(par exemple exécuter des applications non sécurisées)
 Mais, vous ne choisissez pas vos voisins et il n'est pas exclu que l'un
d'eux laisse un jour entrer une personne malveillante
→ Même si l'équipe chargée de la sécurité de l'infrastructure chez le
fournisseur de cloud surveille tout événement inhabituel, certaines
attaques agressives peuvent toujours affecter les autres clients
54
Quelques solutions de sécurité offertes
par les opérateurs de Cloud public (1)
◼ Plusieurs normes de sécurité, réglementations et structures de
contrôle reconnues par le secteur

 Matrice CCM (cloud clontrol matrix) de la cloud security alliance (CSA)

◼ une liste de contrôles sécurité orientés Cloud, mise à
disposition sur le site de la CSA
◼ surtout destinée aux fournisseurs Cloud pour auto-évaluer leur
niveau de sécurité
◼ chaque contrôle est croisé avec d’autres normes ou standards
de sécurité déjà utilisés dans le monde industriel, comme l’ISO
27001/27002
55
Quelques solutions de sécurité offertes
par les opérateurs de Cloud public (2)

◼ Concrètement, la CCM se présente sous la forme d’un fichier

Excel, regroupant les contrôles sécurité par catégorie

◼ Pour chaque contrôle, est indiqué à quel élément de

l’architecture il s’applique (Physical, Network, Compute,
Storage, App ou Data), à quel modèle Cloud (SaaS, PaaS, IaaS),
si ce contrôle s’applique au fournisseur Cloud ou au client et
son équivalence avec d’autres normes ou standards

◼ La nouvelle CCM V3, liste 136 contrôles et présente 16

catégories
56
Quelques solutions de sécurité offertes
par les opérateurs de Cloud public (3)
 Limiter le risque avec le cloud hybride
◼ Un cloud hybride est la combinaison d'au moins deux
environnements de cloud interconnectés, publics ou privés
◼ Ils donnent la possibilité de répartir les charges de travail et les
données en fonction des exigences en matière de conformité,
d'audit, de politique ou de sécurité
◼ Protéger les charges de travail sensibles dans un cloud privé et
exécuter les charges de travail moins critiques dans un cloud
public
◼ exemple concret : en verrouillant la porte de votre domicile,
vous mettez tous vos biens en sécurité, mais cela ne vous
empêche pas d'enfermer quand même vos objets de valeur
dans un coffre-fort 57
Quelques solutions de sécurité offertes
par les opérateurs de Cloud public (4)

 Déployer des solutions CASB (Cloud Access Security

Brokers)

◼ Agent de sécurité des accès au Cloud

◼ C’est un outil logiciel ou un service se situant entre
l'infrastructure sur site ou distante d'une entreprise et
l'infrastructure d'un fournisseur de cloud
◼ Il joue le rôle de médiateur examinant le trafic cloud et
élargissant la portée de leurs politiques de sécurité

58
Quelques solutions de sécurité offertes
par les opérateurs de Cloud public (5)
◼ Le CASB aide l'équipe de sécurité informatique à :
 Identifier et évaluer l'ensemble des apps cloud utilisées;

 Appliquer des politiques de gestion des apps cloud sur les

proxys web ou pare-feu existants ;
 Elaborer et appliquer des politiques granulaires pour le
traitement des informations sensibles, notamment les données
liées à la conformité ;
 Chiffrer le contenu sensible pour veiller à la confidentialité ;

 Détecter et bloquer les comptes aux comportements suspects

qui peuvent être le signe d'une activité malveillante ;
 Intégrer la visibilité et la maîtrise du cloud dans vos solutions de
sécurité existantes. 59
Exemples de fournisseurs de services
cloud
◼ Dropbox
 Le compte gratuit Basic de Dropbox offre 2Go de stockage.
Pour le stockage de documents, cet espace est amplement
suffisant
 Pour un abonnement d’un mois, il est possible de disposer de
1To d’espace
 De plus, pour chaque utilisateur initié par vos soins, vous
bénéficierez de 500Mo supplémentaires jusqu’à 16Go
 Dropbox fonctionne en créant un dossier local sur l’ordinateur
ou l’appareil mobile de l’usager. Ce dossier est ensuite
synchronisé avec la version en ligne
 les documents et fichiers sont disponibles en ligne et hors-ligne
60
Exemples de fournisseurs de services
cloud
 Les fichiers et dossiers peuvent également être partagés avec
d’autres utilisateurs
 En termes de sécurité :

▪ Dropbox propose un système d’authentification en deux

étapes : saisir un code de sécurité à six chiffres, en plus de
votre mot de passe, à chaque fois que vous vous connectez à
votre compte, ou à chaque fois que vous associez un nouvel
appareil
▪ Dropbox protège les données au repos et les données en
transit entre nos applications et nos serveurs. Chaque fichier
est scindé en blocs distincts, qui font l'objet d'un
chiffrement au moyen d'un algorithme renforcé
61
Exemples de fournisseurs de services
cloud

▪ Dropbox conserve un historique de toutes les versions

précédentes et supprimées des fichiers et vous permet de les
restaurer pendant 30 jours

62
Exemples de fournisseurs de services
cloud
◼ Microsoft one drive

 Le compte basique OneDrive offre 5Go de stockage gratuit. Un

abonnement à Office 365 permet de bénéficier d’un espace de
1To
 Ce service utilise le design Modern UI de Microsoft. Les lignes
sont nettes, l’interface épurée
 Depuis Windows 10, il est possible de choisir des fichiers à
synchroniser pour pouvoir y accéder depuis n’importe quel
appareil
 Les différents comptes de réseaux sociaux peuvent être associés
au compte OneDrive, afin de partager plus facilement des
documents stockés sur le Cloud 63
Exemples de fournisseurs de services
cloud

 Un système de permissions permet de délimiter les possibilités

d’édition offertes aux autres utilisateurs

 OneDrive donne la possibilité de bénéficier d’un espace illimité

en échange d’un compte Office

 Par ailleurs, ce service présente un désavantage concernant la

confidentialité. Microsoft se réserve le droit de scanner
n’importe quel document stocké sur son Cloud pour vérifier sa
légalité
64
Exemples de fournisseurs de services
cloud
◼ Google drive

 La création d’un compte Google permet de disposer de 15Go

d’espace gratuit
 Par conséquent, les utilisateurs de Gmail ou YouTube
bénéficient directement d’un compte Google Drive
 Comme la plupart des services Cloud, Google Drive fonctionne
en créant un dossier local sur le PC de l’utilisateur synchronisé
avec sa version en ligne
 Il est possible de choisir les fichiers et dossiers à synchroniser
sur les différents appareils
65
Exemples de fournisseurs de services
cloud

 Les données sont chiffrées au format 128-bit AES et Google

affirme qu’il ne consultera pas les documents entreposés à
moins d’y être forcé par les autorités
 Une vérification en deux étapes permet de sécuriser les fichiers

 Google drive propose une interface intuitive en forme

d’arborescence

66
Exemples de fournisseurs de services
cloud
◼ Mega

 Créée en 2013 par l’Allemand Kim Dotcom, Mega est une

entreprise néo-zélandaise dorénavant indépendante de son
fondateur
 Le principal avantage de ce service Cloud est sa sécurité
particulièrement renforcée. Ce Cloud est intégralement chiffré
de bout en bout
 Chaque fichier transféré sur Mega est chiffré localement,
pendant les transferts et sur le serveur de destination
 La firme elle-même n’a aucun moyen d’accéder aux
informations. Seul l’utilisateur détient la clé nécessaire
67
Exemples de fournisseurs de services
cloud

 Le compte gratuit offre 50 Go d’espace. Il est possible de

profiter de 500Go par an, 2To par an, ou 4To par an
 Le partage est aisé entre les utilisateurs de Mega. Comme sur
Google Drive ou Onedrive, il suffit d’envoyer une invitation à
un ami et de définir le niveau de permissions pour décider dans
quelle mesure ils peuvent éditer les fichiers
 En 2016, Mega a ajouté des fonctionnalités de communication
comme le chat vidéo, les appels vocaux, l’email et la messagerie
instantanée. Là encore, les communications sont chiffrées de
bout en bout

68
Exemples de fournisseurs de services
cloud
◼ iCloud

 Depuis 2014, iCloud permet de stocker n’importe quel fichier

ou document, même s’il ne provient pas d’une application Apple
 Il est possible d’y accéder depuis un PC avec iCloud for
Windows, et non plus seulement depuis iOS ou OS X
 En revanche, il n’existe pas d’application Windows Phone,
Android, ou Blackberry. Ce service se destine donc
principalement aux utilisateurs d’iPhone ou d’iPad
 Apple propose 5Go d’espace gratuit

69
Exemples de fournisseurs de services
cloud

 On peut commencer à travailler sur iPad pour ensuite finir sur

PC. La synchronisation entre appareils est très rapide
 La plupart des données sont chiffrées en 128-bit AES. Le 256-
bit est réservé aux Keychain Passwords
 La marque à la Pomme se réserve le droit de consulter les
fichiers stockés sur son Cloud si elle soupçonne un contenu
illégal

70