www.enisa.europa. eu cloud computing: risques et avantages pour la sÉcuritÉ des donnÉes dr giles...
TRANSCRIPT
www.enisa.europa.eu
CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES
DONNÉES
Dr Giles Hogben
European Network and Information Security Agency (ENISA)Agence européenne chargée de la sécurité des réseaux et de l'information
www.enisa.europa.eu
Objectifs de l’ENISA dans le domaine de Cloud Computing
2
Aider le secteur privé et les pouvoirs publics à bénéficier des avantages du Cloud Computing en matière de coûts
Maintenir la disponibilité du service, la confidentialité et l’intégrité des données, le respect de la vie privée.
www.enisa.europa.eu
Cloud Computing: avantages, risques et recommandations pour la sécurité de l’information
3
www.enisa.europa.eu
Click to edit Master subtitle style
4
Avantages en matière de sécurité
www.enisa.europa.eu
Économies d’échelle
www.enisa.europa.eu
Économies d’échelle et sécurité
Plusieurs mesures de sécurité sont moins coûteuses lorsqu’elles sont mises en œuvre à une plus grande échelle
(par exemple filtrage, réponse aux incidents, gestion des patchs, durcissement des machines etc.)Pour un investissement égal en matière de sécurité, la protection est meilleureQuand même le marché n’est encore prêt pour les applications de haute assurance.
www.enisa.europa.eu
Les Risques
www.enisa.europa.eu
Resources de très grande valeur:
La plupart des risques ne sont pas nouveaux, mais la valeur des resources qu’ils affectent est plus élevée
Le personnel doit être dignes de confianceLes interfaces de gestion constituent des cibles tentantes
www.enisa.europa.eu
Perte de gouvernance:
Le client cède le contrôle au fournisseur pour plusieurs questions relatives à la sécurité:
les tests de pénétration externes ne sont pas autorisés
les journaux (logs) disponibles sont très limités
en général, aucun service d'investigation numérique (forensics)
www.enisa.europa.eu
Difficulté de changer fournisseur (vendor lock-in)
Peu d’outils, de procédures ou de formats standards pouvant garantir la portabilité des données et des services
Difficile de passer d’un fournisseur à un autre, ou de récupérer les données
www.enisa.europa.eu
Répartition peu claire des responsabilités
« Appirio Cloud Storage crypte totalement chaque donnée envoyée par un ordinateur pour être stockée sur Amazon S3. Une fois stockées, les données sont protégées par les mêmes mécanismes de sécurité de haute qualite’ qui protègent des milliers d’utilisateurs des services d’Amazon » (Merci à Craig Balding, de cloudsecurity.org, pour cette information)
www.enisa.europa.eu
Amazon Web Services – Conditions d’utilisation:
«L’APPLICATION DES MESURES DE SÉCURITÉ NÉCESSAIRES POUR PROTÉGER VOS DONNÉES, Y COMPRIS LE CRYPTAGE DES DONNÉES SENSIBLES, RELÈVE DE VOTRE SEULE RESPONSABILITÉ.»«Vous êtes personnellement responsable de toutes les applications exécutées sur des instances que vous démarrez sur Amazon EC2, ainsi que de la totalité du trafic en entrée et en sortie de ces instances. Il vous incombe dès lors de protéger vos mots de passe, noms d’utilisateur et autres codes d’identification. Vous serez responsable de toutes les activités effectuées sous votre compte.»
www.enisa.europa.eu
l'Échec des mécanismes d'isolement
Stockage (par exemple attaques par canal auxiliaire), voir http://bit.ly/12h5Yh Pôles d’entropie (http://bit.ly/41sIiN)Utilisation des ressources (par exemple largeur de bande)
www.enisa.europa.eu
Chiffrement: les données doivent être traitées en texte clair (pour la plupart des
opérations)
=> Pour faire quelque chose d’utile avec le Cloud Computing, il faut faire confiance au fournisseur de services cloud
CustomerCloud
www.enisa.europa.eu
Risques juridiques et contractuels
Données dans de multiples juridictions, certaines pouvant être à risque
Dans certains cas, l’utilisation du Cloud Computing empêche d’atteindre certaines normes de conformité
Risques pour le respect de la directive européenne sur la protection des données
Potentiellement difficile pour le client (responsable du traitement) de vérifier les pratiques de traitement des données du fournisseur
Ce problème est exacerbé dans le cas de transferts multiples de données
Injonction et e-découverte
Propriété intellectuelle
www.enisa.europa.eu
Common Assurance Maturity Model
(Modèle commun pour mesurer la maturité de l’assurance)
Une base minimale pour:comparer les offres de services cloudévaluer les risques liés à la transition vers le Cloud Computingréduire la charge d’audit et les risques pour la sécurité
www.enisa.europa.eu
Click to edit Master subtitle style
Les pouvoirs publics et le Cloud Computing
17
UKD
K
USA
Singapore
Japan
Australia
•Dans le monde entier, des agences gouvernementales et des organisations publiques adoptent le Cloud Computing pour des applications non critiques• Certains pays (par exemple la Corée) vont jusqu’à fournir eux-memes de l’infrastructure de type cloud comme une plate-forme d’innovation
...
www.enisa.europa.eu
Click to edit Master subtitle style
18
2010-2011 – aider les pouvoirs publics européens à evaluer le Cloud Computing
Objectifs de l’ENISA:• analyser et évaluer les incidences du Cloud Computing sur la résilience et la sécurité des services publics• offrir des recommandations et des bonnes pratiques aux États membres de l’Union européenne envisageant qui pensent de passer au Cloud Computing
www.enisa.europa.eu
Conclusions
Le Cloud Computing peut représenter une amélioration de la sécurité pour les applications et données non critiques
La transparence est cruciale: les clients doivent pouvoir évaluer et comparer les pratiques des fournisseurs en matière de sécurité
De nombreux efforts sont encore nécessaires pour obtenir des niveaux de sécurité meilleurs dans le Cloud Computing
Pour une fois, nous pouvons intégrer la sécurité dès le départ, ne laissons pas passer cette occasion
Cloud Computing: avantages, risques et recommandations pour la sécurité de l’information 2009 http://is.gd/cem9H
www.enisa.europa.eu
Dr Giles HogbenSecure Services Programme Manager
European Network and Information Security Agency
Contact