Partie 4/4

1.1.Les aspects sécuritaires

Le fait d’envoyer, pour ainsi dire en…l’air, les données – par essence importantes – d’une organisation, nécessite que des dispositifs techniques très efficaces soient mises en place. En effet, la migration des entreprises vers un service où leurs données sont hébergées dans le nuage, va en quelque sorte transformer tous les utilisateurs des différentes applications en nomades. A cet effet, il ya bon nombre de points à prendre en considération :

 

L’authentification et le contrôle d’accès

Avoir des données quelque part sur un serveur web c’est le rendre potentiellement visible et accessible à au moins tous les internautes de la terre entière. Autant dire à l’humanité entière. Ce qui veut dire que le fait, pour une entreprise, d’avoir ses données sur le nuage rapproche sa probabilité de se les voir un jour vandaliser quasiment de 1. Pour imager, ce serait l’équivalent de jouer à la roulette russe avec un Magnum 357 chargé à 100 pour cent. Point n’est besoin d’être un amateur d’armes à feu pour comprendre l’ampleur des dégâts.   

Pour éviter d’éventuelles déconvenues, le recours à une authentification forte est quasiment obligatoire. Cette disposition permettra de limiter les risques d’intrusion de la part des personnes malveillantes. Cette authentification doit être mise en place et sur le nuage (serveur) et au niveau de l’organisation qui bénéficie de la prestation de service de cloud computing.

Techniquement parlant, les fournisseurs mettent à la disposition de leurs clients des services de sécurités qui se basent sur un système d’authentification de Single Sign On. Ce système permet à l’utilisateur d’accéder à toutes les ressources auxquelles, il a droit (serveurs, systèmes, réseaux), en s’identifiant une seule fois sur le réseau. Des fournisseurs mettent aussi un service de sécurité reposant sur un annuaire électronique LDAP.

 

La traçabilité des opérations

Les préoccupations majeures des entreprises consistent dans la confidentialité des informations et la conservation des données. Ce sont deux éléments essentiels pour la traçabilité de l’information. Cette traçabilité permet de retracer l’historique des accès aux données, ainsi que toutes les opérations qui  y ont été effectuées, de retrouver l’origine de l’information et déterminer sa localisation. Cette traçabilité joue un rôle important dans la préservation du patrimoine matériel et immatériel de l’entreprise.

 

La gestion des habilitations

Les informations de l’entreprise mises sur le nuage pourraient être manipulées à partir de n’importe quel poste nomade. On peut très bien imaginer des cas de vengeance de la part de personnes congédiées par une entreprise. En effet avec le Cloud Computing, elles pourraient avoir accès aux données de leurs anciennes entreprises en se connectant partout à travers le monde. Elles pourraient ainsi continuer impunément à s’introduire sur les différentes applications.

 

 

Chiffrement des données

Le chiffrement des données devrait jouer un rôle essentiel dans la sécurité des applications stratégiques et de l’information à caractère sensible (résultats de recherches dans plusieurs domaines, dépôts de brevets, etc.). Ce chiffrement intègre plusieurs aspects : juridiques, techniques et organisationnels. Les entreprises ont besoin de savoir que les données stockées dans le nuage ne peuvent être modifiées. En plus de garantir un chiffrement efficace à toutes les tentatives de piratages, les fournisseurs de Cloud Computing doivent être en mesure de démontrer que les données du nuage sont bien celles qui ont été confiées pour le stockage.

Pour le chiffrement, les fournisseurs proposent un système de gestion des clés. Ce système prend en charge le renouvellement des clés en cas de perte ou de vol. Il prend aussi en compte toutes les modifications de la liste des clés d’accès.  Les fournisseurs et les entreprises doivent définir ensemble le système adéquat de chiffrement, qui fait partie de la politique de sécurité des systèmes d’informations de l’entreprise.

NB. Nous disons que le système, grâce au chiffrement, devrait garantir un niveau de sécurité fiable. Le conditionnel est de mise car ledit chiffrement, s’il permet d’améliorer le niveau de sécurité au niveau de l’organisation bénéficiaire du service, fait le contraire au niveau du serveur. Il a été démontré que le chiffrement fragilise ou réduit le niveau de sécurité sur le nuage. Il faudrait que les spécialistes travaillent ardemment sur la question.

 

Les faux logiciels de sécurité et les menaces sur le nuage

Selon le dernier rapport nommé ‘‘Slate of the Internet 2009’’ publié par CA, les principales menaces sur le WEB en 2009 sont les faux anti-logiciels espions, qui se font passer pour des logiciels antivirus. Les principales victimes en sont les moteurs de recherche, les réseaux sociaux et le Web2.0.

  1. Les faux logiciels anti-espions se font passer pour des logiciels légitimes à télécharger. Plus de 1 186 variantes ont été répertoriées et une augmentation de 40 % a été notée par rapport à la même période en 2008.
  2. L’empoisonnement des moteurs de recherches, comme Google et Yahoo, sont les principales cibles de ce genre d’attaques. Grâce à des systèmes très au point, les résultats des recherches des internautes sont redirigés vers des pages infectées.
  3. Les sites communautaires ont été particulièrement attaqués cette année par le biais de tentatives d’hameçonnage, et plusieurs profils ont été contaminés pour faire circuler des virus, des vers (Koobface) ou autres logiciels malveillants.
  4. Le vol de données personnelles via un cheval de Troie est responsable de 23 % des attaques.

En guise de rétrospective, CA indique qu’Internet est visé par les attaques à 78 %, les courriels en sont la cible à 17 % et les périphériques à 5 %.

La lecture de ce récapitulatif non exhaustif fait froid dans le dos. C’est pourtant ce qui se passe dans le nuage, nouvelle demeure de l’informatique de ce début de siècle. A chacun de réfléchir à la nécessité ou non de confier ses données à un organisme tiers qui en prendrait soin.

Conclusion
Sujet relativement récent, l’informatique dans les nuages nous a permis de naviguer entre considérations économiques, écologiques (peu d’énergie dépensée), juridiques et maintenant philosophique. La question que l’on est en droit de se poser avec la technologie en général et l’informatique en particulier est celle de savoir si des limites existent. Hier informatique sur terre, aujourd’hui informatique dans les cieux, demain informatiques dans les eaux profondes ? Heureusement un choix est toujours possible. En effet c’est celui de dépenser plus cher dans les systèmes d’hier jusqu’à ce qu’ils disparaissent un jour, et avoir finalement le choix de suivre les courants imposés.

 

 

Bibliographie
1- Du « cloud computing » au « home computing » : comment le web devînt fractal
http://affordance.typepad.com/mon_weblog/2009/06/du-cloud-computing-au-home-computing.html

2- Le cloud computing: voie d’avenir ou pelletage de nuage?

http://www.directioninformatique.com/DI/client/fr/DirectionInformatique/Nouvelles.asp?id=51497&PageMem=3 érard Blanc -06/01/2009

3- IBM Cloud Computing

http://www-304.ibm.com/easyaccess/publicfrance/contenttemplate/!!/xmlid=174162

Cloud computing et utilisateur final

http://blogs.orange-business.com/securite/2009/05/cloud-computing-et-utilisateur-final.html
4- La sécurité du Cloud Computing à ne pas prendre à la légère

http://scteam.wordpress.com/2009/11/10/la-securite-du-cloud-computing-a-ne-pas-prendre-a-la-legere/

5- Dossier Gartner (4e Partie)
Applications d’entreprise et cloud computing : convergence ou mythe ?

jeudi 26 novembre 2009

http://www.itrmanager.com/articles/97858/dossier-gartner-4e-partie-br-applications-entreprise-cloud-computing-convergence-mythe.html

 

6- LE MAG IT

Spécial sécurité : le Cloud Computing, outil de luxe pour hackers 

Le 09 novembre 2009 (11:18) – par La rédaction

http://www.lemagit.fr/article/iphone-cloud-computing-hacking-amazon-ec2-ssl-deni-service-mot-passe/4767/1/special-securite-cloud-computing-outil-luxe-

7- Cloud Computing : tout (et n’importe quoi) dans les nuages

Rédigé par Jerome Saiz (SecurityVibes)

http://www.securityvibes.com/cloud-computing-jsaiz-news-975.html

 

8- Le cloud computing est-il sûr ?
Par Ludovic Blin, secuobs.com
Le 28/01/2009

http://www.secuobs.com/news/28012009-cloud-computing-securite.shtml

 

 

 

9- Le Cloud Computing :

L’état de l’art et l’approche Valtech

 

http://www.google.ca/search?q=Le+Cloud+Computing+%3A+L%E2%80%99%C3%A9tat+de+l%E2%80%99art+et+l%E2%80%99approche+Valtech&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-

 

10- Cloud COmputing et Saas

Une rupture décisive pour l’.informatique de l’entreprise

Guillaume Plouin, 2009

 

11- Cloud Computing Web-Based Applications

That Change the Way You Work and Colloborate Online

Michael Miller August 2008