La sécurité du " cloud computing " - Le point de vue de Microsoft
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
La sécurité du « cloud computing » Le point de vue de Microsoft Janvier 2010
1 Les informations contenues dans le présent document représentent le point de vue actuel de Microsoft Corporation sur les questions traitées à la date de sa publication. Microsoft s’adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft. En outre, Microsoft ne garantit pas l'exactitude des informations fournies après la date de la publication. Ce livre blanc est fourni à titre informatif uniquement. MICROSOFT N’ACCORDE AUCUNE GARANTIE, EXPRESSE OU TACITE, PAR LE BIAIS DE CE DOCUMENT. L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicable dans son pays. Sans limitation des droits de copyright, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de récupération ou transmise sous quelque forme, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou à quelque fin que ce soit sans la permission expresse et écrite de Microsoft. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence, émanant de Microsoft, la fourniture de ce document ne vous confère aucune licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle et industrielle visés. © 2009 Microsoft Corporation. Tous droits réservés. Microsoft, Bing, Hotmail, Microsoft Dynamics, MSN et Windows Live sont des marques déposées ou des marques de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Les noms d'entreprises et de produits mentionnés dans le présent document peuvent être des marques de leurs propriétaires respectifs. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis © 2009 Microsoft Corporation. Tous droits réservés.
2
Table des matières
L'évolution du « cloud computing » ........................................................................ 3
Questions relatives au « cloud computing » ............................................................. 4
« Cloud computing » : avantages et enjeux ............................................................. 6
Conclusion ............................................................................................................ 7
© 2009 Microsoft Corporation. Tous droits réservés.3
L'évolution du « cloud computing »
Le monde des technologies de l'information est sur le point de prendre un tournant fondamental. Le
stockage de données et les services sur Internet, connus sous le nom de « cloud computing », sont
en plein essor et viennent compléter le modèle traditionnel d'exécution de logiciels et de stockage
des données sur des PC et des serveurs. Le « cloud computing » tend à améliorer l'expérience
informatique en permettant aux utilisateurs d'accéder à des applications logicielles et à des données
disponibles à la demande et hébergées dans des centres de données hors site ou dans les
infrastructures internes d'une entreprise1 et non sur des périphériques ou des PC individuels.
La notion de « cloud computing » n'est pas récente ; en effet, certains services sont proposés depuis
longtemps « sur le nuage ». Voici quelques exemples d'applications disponibles via un
environnement de « cloud computing » : messagerie électronique, messagerie instantanée, logiciels
de gestion et gestion du contenu Web. Bon nombre de ces applications étaient déjà proposées en
ligne depuis plusieurs années ; le « cloud computing » ne devrait donc pas paraître très différent du
Web actuel aux yeux de la plupart des utilisateurs. Les plus avertis noteront cependant à juste titre
certaines caractéristiques spécifiques, telles que l'évolutivité, la flexibilité et la mise en pool des
ressources, comme principaux différenciateurs du « cloud computing ». Ces spécificités techniques
ne seront pas traitées ici car elles n'entrent pas dans le propos du présent document.
Par exemple, les services de messagerie électroniques traditionnels sont exécutés dans les centres
de données des prestataires ; les données des utilisateurs sont donc partagées sur différents
serveurs de messagerie. Cependant, ces services en nuage vieillissants ne disposent pas des
éléments clés qui caractérisent le nouveau nuage. Ils se définissent comme des modèles « Software
as a Service » traditionnels hébergés sur le nuage public, dont le prestataire détient le contrôle total,
du matériel mis en œuvre à l'authentification des utilisateurs. Les utilisateurs ne peuvent pas
héberger leurs propres applications et leur flexibilité est bridée. De plus, ils disposent d'un espace de
stockage limité.
La notion de « cloud computing » fait référence à plusieurs paradigmes informatiques qui, pour
certains, ne sont pas vraiment nouveaux. Par exemple, comme l'explique l'Institut national des
standards et de la technologie des États-Unis2, le « cloud computing » se décline sous trois modèles
de services :
1) Le Software as a Service fournit des applications sur le nuage ;
2) Le Platform as a Service permet aux utilisateurs de créer ou d'exécuter des applications
grâce à des langages et à des outils pris en charge par le prestataire de services en nuage
qui fournit l'infrastructure sous-jacente (serveurs, systèmes d'exploitation, espaces de
stockage) ; et
3) L'Infrastructure as a Service permet à un client de déployer une infrastructure informatique
similaire à un environnement virtualisé.
Ces trois modèles présentent des caractéristiques essentielles telles que le libre-service (un client
peut accéder à de nouvelles fonctions), les ressources partagées et la flexibilité à la demande (une
1
Dans le cadre de ce document, une « entreprise » désigne au sens large une entité gouvernementale ou commerciale, un groupe ou
une équipe.
2
http://csrc.nist.gov/groups/SNS/cloud-computing/
© 2009 Microsoft Corporation. Tous droits réservés.4
entreprise peut rapidement acquérir une puissance de traitement et un espace de stockage
supplémentaires à mesure qu'elle se développe).
Les services en nuage peuvent être fournis par des nuages privés exécutés par ou pour une seule
entreprise, par des nuages communautaires pour les entreprises ayant les mêmes exigences de
service et par des nuages publics fournissant un seul niveau de service et stockant les données sur
des ressources partagées.
Le modèle du « nuage » apporte un niveau de flexibilité bien plus intéressant mais entraîne une
révolution des systèmes de sécurité et de confidentialité : bien qu'il augmente la sécurité dans
certains domaines, il s'accompagne de nouveaux risques qu'il est important de prendre en compte.
Les services proposés sur le « cloud » fonctionnent souvent en association avec une application
client qui s'exécute sur un ordinateur de bureau. Par exemple, sur un ordinateur, les applications de
messageries instantanée et électronique s'appuient sur l'infrastructure de « cloud computing » pour
effectuer leurs opérations en ligne et nécessitent le téléchargement d'un client. L'association
« client + cloud computing » offre aux individus, aux gouvernements et aux entreprises plus de
choix, de souplesse et de flexibilité tout en augmentant l'efficacité et en réduisant les coûts liés à
l'infrastructure informatique. Elle offre aux clients l'accès aux informations, aux logiciels et aux
services pour un coût réduit et sur toute une gamme de périphériques dits « intelligents » : PC,
téléphones portables, télévisions et autres. La nouvelle génération informatique présente donc un
énorme potentiel en matière de nouvelles opportunités commerciales et de croissance économique.
Comme pour toute période de transition technologique majeure, l'évolution du « cloud computing »
a suscité l'intérêt le plus vif et des interrogations dans le monde des médias. Elle a également
soulevé des questions stratégiques quant à la manière dont les personnes, les entreprises et les
institutions gouvernementales gèrent les informations et les interactions dans ce type
d'environnement. Cependant, en matière de sécurité et de confidentialité, le « cloud computing »
n'est pas une révolution : il n'est que le reflet des évolutions informatiques dont les utilisateurs
bénéficient depuis longtemps déjà sur le Web.
Ce livre blanc examine de façon générale les changements que cette évolution va apporter à la
sécurité informatique et évoque les avantages et les défis qui l'accompagnent.
Questions relatives au « cloud computing »
Pour bien comprendre les différences entre le « cloud computing » et l'informatique traditionnelle, il
faut analyser le fonctionnement du nuage et définir les effets de ce nouveau modèle informatique
sur les entreprises et les consommateurs.
L'adoption du « cloud computing » a évolué progressivement et continuellement depuis de
nombreuses années. Auparavant, les informations étaient stockées massivement dans des archives
papier dans des salles sur site ou hors site dédiées, et circulaient de main en main ou étaient
envoyées par courrier postal. Aujourd'hui, la plupart des données sont stockées sur des serveurs que
l'utilisateur ne peut pas contrôler directement et partagées dans toute l'entreprise, sans tenir compte
des frontières, via de nouveaux outils tels que la messagerie électronique, les sites Web collaboratifs
et les réseaux sociaux. L'un des principaux différenciateurs du « cloud computing » réside dans le
fait que le stockage et l'utilisation ne sont plus limités en termes d'espace ni de géographie. En effet,
les utilisateurs du « cloud computing » n'ont généralement pas besoin de savoir combien de
© 2009 Microsoft Corporation. Tous droits réservés.5
« dossiers d'archivage virtuel » sont nécessaires car l'espace et la puissance de traitement
disponibles s'adaptent pour répondre à leurs besoins.
En transférant leurs processus et applications métier sur le nuage, les entreprises seront peut-être
amenées à modifier leurs pratiques informatiques pourtant éprouvées. Le nuage hors site offre de
nombreux avantages potentiels, dont notamment le renforcement de la sécurité. Il existe néanmoins
d'importantes différences entre les anciennes et les nouvelles méthodes, et les entreprises se
doivent de les analyser dans leurs processus de planification des activités et de gestion des risques.
Quelles sont les différences entre le nuage et le modèle informatique actuel ? Comment les
entreprises doivent-elles gérer ces différences dans leurs processus de planification des activités ?
Dans le modèle traditionnel, l'entreprise est responsable de tous les aspects qui concernent son
personnel, ses processus et ses technologies. Elle achète son matériel et ses licences, sécurise ses
centres de données et embauche le personnel dont elle a besoin.
Pour résumer, l'entreprise est responsable de la gestion des éléments suivants :
1) L'emplacement physique du centre de données (sous quelle juridiction) ;
2) La sécurité du centre de données ;
3) La fiabilité des administrateurs systèmes ; et
4) Le programme documenté de sécurité des informations qui assure la confidentialité,
l'intégrité et la disponibilité des données et des systèmes, y compris, mais sans s'y limiter,
la configuration, l'application de correctifs, la réponse aux incidents et la gestion du plan de
continuité des activités.
À l'inverse, beaucoup de ces tâches seront assumées par le prestataire de services en nuage et ce,
notamment dans les nuages publics. La sécurité physique du centre de données est prise en charge
par le prestataire de services en nuage et l'administration des systèmes peut être confiée aux
employés de ce prestataire et non pas à l'entreprise qui consomme les services. Ce nouveau modèle
pourrait rebuter les entreprises qui n'ont encore jamais externalisé de fonctions informatiques
critiques à des tiers. En effet, certains éléments des services en nuage représentent un véritable
changement. Par exemple, pour permettre une flexibilité totale des services en nuage,
l'infrastructure matérielle est partagée et les « barrières de sécurité » entre les espaces de stockage
de chaque entreprise peuvent être virtuelles (création de compartiments virtuels) et non physiques
(utilisation d'un matériel distinct). De plus, le pays de stockage des données des entreprises peut
être défini en fonction de critères comme l'évolutivité et la disponibilité et non selon des exigences
de sécurité ou de juridiction, notamment lorsque le prestataire de services en nuage possède des
centres de données dans plusieurs juridictions.
Il est certes plus simple et plus efficace pour le prestataire de pouvoir allouer ses ressources sans se
préoccuper de leur emplacement physique, mais dans ce cas une incertitude demeure quant aux lois
qui vont s'appliquer à la gestion des données. Autre problème éventuel : les employés d'une
institution gouvernementale ou d'une entreprise peuvent décider par eux mêmes d'opter pour un
service en nuage, sans consulter au préalable leur service informatique, exposant ainsi les autres
employés à des risques non gérés.
© 2009 Microsoft Corporation. Tous droits réservés.6
Il est donc important que les entreprises analysent soigneusement les implications du « cloud
computing » et les prennent en compte avant d'adopter de tels services. Nous présentons ci-après
quelques observations d'ordre général et les enjeux à considérer.
« Cloud computing » : avantages et enjeux
Le « cloud computing » affecte la sécurité des entreprises de diverses manières. L'un des aspects
positifs du « cloud computing » est l'utilisation de ressources compétentes. Le fait est que la
technologie s'est développée très rapidement et que la formation n’a pas toujours suivi. Le personnel
informatique n'a pas encore été formé pour gérer correctement cette nouvelle technologie et ce,
même lorsque les solutions ont été créées de manière sécurisée, avec une configuration par défaut
sécurisée. L'ensemble de ressources gérées par un prestataire de services en nuage prend une
nouvelle importance du fait du volume de données qu’il contrôle. Cependant, les investissements
réalisés par ces prestataires tant au niveau des ressources humaines que de l'amélioration des
pratiques de sécurité profitent à tous les clients des services en nuage.
La centralisation du stockage des données dans de grands centres de données est un autre
avantage des services en nuage. Les données sont accessibles en tout lieu et peuvent être gérées et
protégées bien plus efficacement qu’avec des espaces de stockage décentralisés. Ainsi, en stockant
les données critiques de l'entreprise dans des centres de données plutôt que localement sur des
ordinateurs ou des périphériques portables, on réduit le risque de perte ou de vol de données.
Le modèle du « cloud computing » présente néanmoins des enjeux inhérents à la gestion des
risques. Puisque les entreprises dépendent des services en nuage, la résilience et la disponibilité du
service en nuage et des systèmes de communication qui relient l'entreprise au centre de données
sont naturellement des points très importants. Les entreprises doivent donc parfaitement jauger
leurs besoins et les capacités de leurs FAI et des prestataires de services en nuage.
Dans la mesure où d’importantes quantités de données provenant de différentes entreprises sont
centralisées, elles peuvent attirer des personnes mal intentionnées. Ainsi la sécurité physique du
centre de données et la fiabilité et le sérieux des administrateurs système sont des points
stratégiques. Si la décentralisation des données présentait de vrais défis, leur regroupement accroît
aujourd'hui l'ampleur des dommages potentiels lorsqu'un centre de données est attaqué.
Avec le regroupement des données, on voit également apparaître de nouveaux problèmes de
confidentialité. Les administrations gouvernementales des pays où sont hébergées les données
pourraient les analyser sans nécessairement en prévenir l'auteur. Parallèlement, une question se
pose : le prestataire de services en nuage lui-même a-t-il le droit de visualiser et d'accéder aux
données de ses clients ? Beaucoup de services actuels surveillent le comportement des utilisateurs à
diverses fins, qu'il s'agisse d'envoyer des communications ciblées ou d'améliorer la qualité des
services.
Des problèmes liés à la prise en charge des tâches de sécurité et de confidentialité peuvent
également apparaître. Imaginons, par exemple, qu'un pirate informatique s'attaque au prestataire de
services A et qu'il vole les données de l'entreprise X. Imaginons également que le serveur attaqué
contienne les données des entreprises Y et Z. Qui doit enquêter sur ce crime ? Est-ce le prestataire
de services A ? Ne va-t-il pas tenter de limiter sa responsabilité vis-à-vis de l'entreprise X ? Est-ce
l'entreprise X ? Et dans ce cas, a-t-elle le droit de consulter les autres données présentes sur le
serveur, y compris les journaux qui indiquent l'accès aux données des entreprises Y et Z ?
© 2009 Microsoft Corporation. Tous droits réservés.7
Bien entendu, il est impossible de trouver une solution qui couvre tous ces aspects et toutes ces
questions à l'heure actuelle. Le « cloud computing » cache à fortiori encore bien des interrogations.
Toutefois, comprendre ces problèmes permet aux entreprises intéressées de poser des questions
pertinentes quant à l’adoption de ce modèle et, le cas échéant, les approches à mettre en œuvre.
La première question fondamentale à se poser est liée au type de nuage que l'entreprise doit choisir.
Si l'entreprise souhaite conserver le contrôle des ressources physiques et du personnel gérant le
nuage, elle doit opter pour un nuage privé ou communautaire, géré par l'entreprise elle-même ou
par un tiers de confiance.
À l'inverse, si l'entreprise a adopté une approche de gestion des risques moins ciblée sur le contrôle
direct des ressources physiques et du personnel d'exploitation, elle recherchera davantage à réduire
ses coûts et à accroître sa flexibilité en externalisant certaines de ses opérations sur le nuage.
Comprendre les responsabilités de chacun - entreprise, prestataire, tiers - est essentiel. Par exemple,
une entreprise qui utilise le centre de données et le personnel d'un prestataire de services en nuage
« externalise » ces éléments et doit poser les questions d'externalisation classiques. Quelles sont les
stratégies de sécurité et de confidentialité du prestataire ? Comment sont-elles appliquées ? Ses
processus sont-ils transparents ? A-t-il reçu des certifications d'autorités externes de confiance ? Est-
il soumis à des audits réguliers ? Que se passe-t-il en cas d'incident ? De nouvelles questions doivent
également être posées, comme par exemple : la flexibilité offerte par le prestataire peut-elle
entraîner une délocalisation de l'espace de stockage des données de l'entreprise dans d'autres
pays ?
Les entreprises doivent également identifier les fonctions qu'elles souhaitent continuer à contrôler.
Voici des exemples de questions à poser : qui a le dernier mot sur les mécanismes d'authentification
à utiliser pour accéder aux applications et aux données présentes sur le nuage ? Est-ce le prestataire
de services en nuage, le consommateur des services ou une entreprise tierce ? Comment fonctionne
la collaboration ad hoc dans cet environnement ?
Enfin, beaucoup classent les services du nuage en deux catégories simples : « privé » ou « public ».
Mais nous sommes déjà aujourd’hui dans un environnement bien plus complexe, composé de divers
modèles hybrides. Par exemple, une entreprise peut utiliser une application métier gérée sur site,
gérée dans un nuage communautaire ou potentiellement distribuée entre plusieurs prestataires de
services en nuage publics. Le ou les choix effectués auront un impact important sur l'approche de
sécurité adoptée et sur la capacité à transférer des données et des applications entre le nuage et les
infrastructures internes.
Conclusion
Le modèle « client + cloud computing » propose à moindre coût plus de choix, de flexibilité et
d'efficacité opérationnelle aux entreprises, aux institutions gouvernementales et aux particuliers.
Pour tirer pleinement parti de tous ces avantages, des garanties fiables doivent être apportées en
matière de confidentialité et de sécurité des données en ligne. En outre, certaines questions
réglementaires, juridiques et de stratégies publiques restent à résoudre pour ne pas freiner l’essor
de l'informatique en ligne.
Depuis 1994, Microsoft a répondu à plusieurs de ces problématiques, notamment via sa première
offre de services en ligne destinés aux particuliers et aux entreprises. Forte de l'expérience acquise
pendant de nombreuses années, l'entreprise a mis en œuvre un programme de cycle de vie de
développement de la sécurité favorisant une conception, un développement et un déploiement
© 2009 Microsoft Corporation. Tous droits réservés.8
sécurisés. Microsoft a également élaboré un ensemble de principes de confidentialité applicables à
ses produits et services, tout en garantissant la conformité aux politiques de confidentialité de
l'entreprise, l'excellence du développement et la rigueur de ses pratiques de gestion globales. Cette
approche constitue le fondement de l'engagement de Microsoft à maintenir les meilleurs standards
de confidentialité et de sécurité pour les services en ligne et à travailler en partenariat avec les
autres acteurs leaders du secteur, les gouvernements et les associations de consommateurs dans le
but d'élaborer des systèmes de confidentialité et de sécurité homogènes à l'échelle mondiale, qui
augmentent la valeur économique et sociale de l’informatique « en nuage ».
© 2009 Microsoft Corporation. Tous droits réservés.Vous pouvez aussi lire
