Le 04 octobre 2011 (07:02) - par Cyrille Chausson , Valery Marchive
La sécurité du Cloud, un défi aux multiples facettes
Que l’on parle infrastructure en mode service (IaaS), plateforme (PaaS) ou encore applications (SaaS), le Cloud amène les divisions IT sur des terres inconnues. Il induit une division des tâches que connaissent beaucoup d’industries mais dont seules les entreprises déjà largement ouvertes à l’externalisation sont finalement familières. Les questions soulevées leurs paraîtront bien connue : qui est responsable de quoi ? pour quels aspects de la sécurité des données et des applications ? Des points qui méritent d’être examinés de près et contractualisés. Mais se pose aussi la question de savoir qui peut accéder aux données de l’entreprise, comme Microsoft l’a si bien illustré cet été en précisant ses obligations par rapport au Patriot Act américain.
En fait, on doit pouvoir résumer la question de la sécurité du Cloud à une équation à quatre variables : la technologie et les contrôles de sécurité; les contraintes légales et contractuelles; le modèle de déploiement et la répartition des tâches; et enfin les processus d’achat et d’assurance. Des variables qui changent chacune en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du mode de déploiement - public ou privé. Bref, comme le résumerait Michael Pauly, consultant chez T-Systems, «les clouds ne naissent pas égaux.»
Surtout, alors que pour certains garantir la sécurité dans le Cloud relève de la gageure, c’est peut-être plus que jamais de risque et d’équilibre entre risque et impératifs métiers qu’il faut penser : «il n’y a pas de réponse toute faite à apporter,» estime Michael Pauly. «C’est à l’entreprise de placer ses curseurs au bon endroit. Mais encore faut-il que ses fournisseurs lui permettent d’évaluer la sécurité de leurs offres.» Un point toujours délicat mais sur lequel la Cloud Security Alliance travaille activement.
Toutefois, pour beaucoup, si la question de la sécurité du Cloud fait largement débat - quand elle ne freine pas son développement - elle aura, in fine, un impact largement positif. La plupart des PME devraient pouvoir profiter d’une meilleure sécurité avec le Cloud qu’avec leurs systèmes internes. Et, pour Michael Pauly, au moins, «elles pourront se reposer sur de solides accords de niveau de service. Ce qu’elles n’ont pas forcément en interne...»
Reste que ce n’est pas parce que les fournisseurs Cloud font d’importants efforts - la sécurité est à l’évidence une question critique pour eux - que leurs clients ne doivent pas en faire, de leur côté.
Volkmar Lutz, directeur de la practice sécurité de SAP Research, relève ainsi que «80 % des vulnérabilités actuelles sont liées aux configurations.» Surtout, le Cloud induit un changement dans l’approche des questions de sécurité : «il faut passer du contrôle des accès au contrôle des usages et approcher la sécurité sous l’angle d’un cycle de vie. Cela veut dire que les règles de sécurité doivent être étroitement liées aux données, par la cryptographie.» Un point qui, toutefois, n’en est encore qu’au stade de la recherche pour les échanges de données entre plateformes différentes.
http://www.lemagit.fr/article/virtualisation-cloud-computing-hyperviseur-menaces-configuration/9595/1/la-securite-cloud-defi-aux-multiples-facettes/?utm_source=essentielIT&utm_medium=email&utm_content=new&utm_campaign=20111004&xtor=ES-6
Aucun commentaire:
Enregistrer un commentaire