Vous êtes sur la page 1sur 21

ECUE.3.

22

Section 1. Introduction à la Sécurité des


Données dans le Cloud

Leçon1. Des Données sur les Nuages!


Avant-Propos (1)

La migration vers une plate-forme de cloud computing signifie que votre


responsabilité en matière de sécurité des données augmente considérablement.
Les données avec différents niveaux de sensibilité (Sensitivity) sortent des limites de
votre pare-feu. Vous n’avez plus aucun contrôle - vos données pourraient résider
n’importe où dans le monde, selon le prestataire Cloud utilisé.

Passer au cloud public ou utiliser un cloud hybride signifie que le potentiel de


problèmes de sécurité du Cloud est omniprésent dans la chaîne. Cela peut se
produire lorsque les données sont préparées pour la migration, au cours de la
migration ou éventuellement dans le nuage après leur arrivée. Et vous devez être
prêt à résoudre ce problème à chaque étape du processus.
Avant-Propos (2)

La sécurité des données incombait aux fournisseurs de services de cloud computing,


qui ont été -jusque là- à la hauteur. Quelle que soit la plate-forme choisie dans le
débat entre AWS, Azure et Google, toutes ces entreprises se prétendent d’être
conformes à des normes de sécurité telles que HIPAA, ISO, PCI DSS et SOC! Bien
entendu, tel n’est pas le cas pour d’autres fournisseurs de Cloud qui n’ont pas le
privilège de se livrer à ce processus de conformité (Compliance).

Cependant, le fait que les fournisseurs offrent la conformité ne donne pas aux
clients le droit de renoncer à leurs responsabilités. Ils assument également une
certaine part de responsabilité, ce qui crée un défi considérable en matière
d'informatique en nuage.

De nombreuses organisations négligent le modèle de responsabilité partagé dans le


Cloud et pensent à tort que la sécurité est entièrement prise en charge par le
fournisseur de Cloud.
Des données sur le nuage

Données Données non Données semi-


structurées structurées structurées
Il s’agit d’une donnée qui Il s’agit d’une donnée qui
Il s’agit d’une donnée
est organisée suivant est organisée sans la
dont certains éléments
une structure. Elle peut moindre structure. Elle
de celle-ci sont
être générée par un peut être également
organisés suivant une
humain ou une machine, générée par un humain
structure.
cependant sa qualité ou une machine.
première est qu’elle
Exemple: fichiers XML et
puisse être facilement Exemple: document
JSON, Google Protocol
classée, retrouvée et Word, un fichier PDF, un
Buffer.
extraite . fichier audio, un fichier
Exemple: Base de image au format JPEG ou
données relationnelle. encore une vidéo .
Cycle de vie de la Sécurité des données dans
le nuage
NB: Dans le cycle de vie, les données peuvent rebondir entre les phases sans
restriction et peuvent ne pas passer par toutes les étapes (par exemple, toutes les
données ne sont pas finalement détruites).
Créer/Update: la création est la génération de nouveau
contenu numérique, ou la modification / mise à jour de
contenu existant.
Stocker: est l'acte qui valide les données numériques dans
une sorte de référentiel de stockage et se produit
généralement presque simultanément avec la création.
Utilisation: les données sont visualisées ou traitées.
Partager: les données sont échangées entre les utilisateurs,
les clients et les partenaires.
Archive: les données quittent une utilisation active et
entrent dans une mémoire à long terme.
Détruire: les données sont détruites de manière
Source: Security Guidance v4.0,
permanente à l’aide de moyens physiques ou numériques Cloud Security Alliance
(cryptographie, par exemple).
Exemple: Google Cloud Plateform (GCP)
Délimitation des responsabilités

• Le client: application, données et système d’exploitation


IaaS • Le fournisseur: hyperviseur, machine physique, locaux

• Le client: données , un sous-ensemble des applications


PaaS • Le fournisseur: un sous-ensemble des applications, système
d’exploitation, hyperviseur, machine physique, locaux

• Le client: rien
SaaS • Le fournisseur: tout
Délimitation des responsabilités (2)

Source: Cloud doption and Risk Report – McAfee 2019


Délimitation des responsabilités (3)

Le problème est que la plupart des fournisseurs de Cloud sont assez clairs dans
leurs conditions de licence qu'ils garantiront la protection des données
uniquement dans certains termes, comme le montre l'exemple ci-dessous de
Microsoft.
Objectifs de la sécurité… des plus classiques?
À l’instar des besoins de sécurité pour une infrastructure interne (On Premise), les
objectifs de sécurité pour un environnement Cloud sont :
Authentification (Authentication) : s’assurer de l’identité d’une personne ou d’une
entité (ou bien en détecter une usurpation), afin d’avoir la garantie que la personne
/ l’entité est bien celle qu’elle prétend être
Confidentialité (Confidentiality) : s’assurer que les informations stockées dans le
cloud ne sont accessibles qu’aux personnes autorisées
Intégrité (Integrity) : s’assurer que les informations n’ont pas été altérées,
notamment pendant le transport des données dans un environnement cloud, afin
d’avoir la garantie que les données sont complètes et exactes dans cet
environnement
Non-répudiation ou Imputabilité (Non-repudiation) : s’assurer que l’émetteur et le
destinataire d’une information sont bien ceux qui prétendent être et que
l’information envoyée est bien conforme à celle reçue. Techniquement, il s’agit d’une
combinaison entre les mécanismes d’authentification et d’intégrité
Objectifs de la sécurité (2)

Disponibilité (Disponibility) : s’assurer que les services, les ressources et les réseaux
informatiques soient accessibles
Contrôle d’accès (Access control) : s’assurer que des moyens ont été mis en place
pour limiter l’utilisation de systèmes ou d’applications
Fraîcheur (Refreshing) : s’assurer lors d’une communication de données du caractère
« récent » de ces informations, afin d’éviter des attaques dites « par rejeu »
Traçabilité ou Preuve ou Auditabilité (Evidence) : s’assurer d’avoir les moyens de
prouver la réalité des actions.

…Et sur le cloud, c’est une autre paire de manches!


Les enjeux de la sécurité dans le Cloud

Confidentialité des données: Data Privacy

Un grand nombre de lois nationales et internationales relatives à la protection de la


vie privée ont obligé plus d’une entreprise à refuser de passer au Cloud, car la loi
est trop lourde et exigeante!
De nombreux fournisseurs peuvent stocker des données sur des serveurs ne se
trouvant pas physiquement dans une région, car le propriétaire des données et les
lois peuvent être différents. Ceci est un problème pour les entreprises soumises à
des lois de résidence de données strictes. Sans compter que le fournisseur de
services de cloud computing va probablement se dégager de toute responsabilité
dans le contrat SLA (service Level Agreement), cela laisse les clients avec la pleine
responsabilité en cas de violation.
Les enjeux de la sécurité dans le Cloud
Confidentialité des données: Data Privacy (2)
Lois internationales sur la résidence des données:
États-Unis
Loi sur la transférabilité des informations sur la santé (HIPAA),
Les normes de sécurité des données du secteur des cartes de paiement (PCI DSS)
Le règlement sur le trafic international des armes (ITAR) et la loi sur les technologies de la
santé à des fins économiques et cliniques (HITECH). ).
Europe
Règlement général sur la protection des données (RGPD) , lourdement sanctionnant
de nombreux pays de l'Union européenne (UE) maintenant qui dictent que des
informations sensibles ou privées ne doivent pas quitter les frontières physiques du
pays ou de la région. d'où ils proviennent
Règlement du Royaume-Uni sur la protection des données
Loi fédérale suisse sur la protection des données
Loi russe sur la protection des données
Loi canadienne sur la protection des informations personnelles et les documents
électroniques (LPRPDE).
Les enjeux de la sécurité dans le Cloud
Intégrité, la perte de gouvernance, de souveraineté et le vol de données

L'intégrité des données peut être définie comme la protection des données contre
toute modification ou suppression non autorisée. Cela est facile dans une base de
données unique, car vous ne pouvez contrôler qu'une seule manière d'entrer ou de
sortir de la base de données. Mais dans le cloud, en particulier dans un
environnement multi-Cloud, cela devient difficile.

Les données stockées dans le Cloud pourraient être corrompues lors de la


transmission vers / depuis le stockage de données cloud. Comme les données et le
calcul sont externalisés vers un serveur distant, leur intégrité doit être maintenue et
vérifiée en permanence afin de prouver que les données et le calcul sont intacts.

Toute modification des données doit être détectée.


Les enjeux de la sécurité dans le Cloud

Contrôle d’accès

En raison du grand nombre de sources de données et de moyens d'accès,


l'autorisation devient cruciale pour garantir que seules les entités autorisées
peuvent interagir avec les données. Cela signifie des moyens d'accès plus stricts,
comme l'autorisation à deux facteurs, et la journalisation pour voir qui a accédé à
quoi.
Les enjeux de la sécurité dans le Cloud

Disponibilité

En réalité, les données qui ne sont pas disponibles en cas de besoin n’ont plus de
valeur! C'est pire qu'inutile car si des systèmes ont été configurés en fonction de
cette disponibilité (une réaction en chaîne à une catastrophe, une défaillance,…) de
les données nécessaires peuvent être manquantes, ou pire, obsolètes ou autrement
compromises.
Mais aussi: prévoir des mécanismes de « recovery » et de backup !
Dans un environnement Cloud, il s’ agit toujours d’un point de défaillance (Single
Point Of Failure – SPOF)
Les services du Cloud sont « scalables » et robustes, mais ils constituent un point
de défaillance unique pour les utilisateurs.
Prenons l'exemple du Playstation Network (PSN) de Sony. Il a été défaillant à plusieurs
reprises , empêchant essentiellement des millions d'utilisateurs de jouer pendant ces
périodes de défaillance..
Le Cloud, Pas aussi sécurisé que ça?
Vulnérabilité des données dans le Cloud
Quelques chiffres :
Source: Cloud Adoption and Risk Report-McAfee-SYDNEY 2018
« Le nombre d’incidents liés à la prévention des pertes de données (DLP) de l’Infrastructure-as-
a-Service a augmenté de 248 % par rapport à l’an dernier »
« 21% tous les fichiers dans le Cloud contiennent des données sensibles, démontrant une
augmentation régulière d'une année à l'autre (AAA) »
« Le partage de données sensibles via un lien ouvert et accessible au public a augmenté de
23% AAA »
Les menaces dans le cloud, telles qu'un compte compromis, des menaces d'utilisateurs
privilégiés et des menaces internes, ont augmenté de 27,7% AAA, les menaces dans Office365
augmentant de 63% AAA »
Le partage de données sensibles via un lien public a augmenté de 23% sur un an. »
Les données sensibles envoyées à une adresse électronique personnelle ont également
augmenté de 12% AAA. »
92% de toutes les organisations ont volé leurs identifiants cloud (Cloud Credentials) pour les
vendre sur le Dark Web. »
Infractions sur les données (Data Breaches)

Source: Cloud Security: Spotlight Report- Delta Risk 2017


« Les trois principales préoccupations des personnes interrogées en matière de sécurité
dans le cloud concernaient la protection contre la perte de données (57%), les
menaces à la confidentialité des données (49%) et les violations de la confidentialité
(47%) » .
Infractions sur les données

La violation de données (Data Breaches) constitue une menace extrêmement


préoccupante pour la sécurité de toute organisation qui utilise, traite, stocke ou
utilise des données. Cependant, généralement, les données utilisées par les
entreprises actuelles peuvent contenir des enregistrements comprenant des
informations sur les clients ou les partenaires personnellement identifiables.

Ce type de violation expose le consommateur au vol de données et à la vie


privée, ruinent la confiance des clients dans l’entreprise et entraînent des
répercussions majeures pour l’entreprise à partir de laquelle les données ont été
divulguées (Data Leakage)

Une information personnellement identifiable (PII) peut inclure un nom, une


adresse, un numéro de téléphone, une adresse électronique, des informations
financières, notamment des numéros de carte de crédit, des numéros de sécurité
sociale et de nombreux autres types d’informations permettant d’identifier
personnellement un individu.
Top 2018 Data incidents,…, et pas que!
1. Aadhaar India National ID Database
Base de données d'identification gouvernementale contenant des informations d'identité,
biométriques et autres sur plus de 1,1 milliard de citoyens indiens inscrits. Cause: Un API
endpoint non sécurisé.

2. Cambridge Analytica
Les données de près de 87 millions d'utilisateurs ont été compromises dans cette fuite de
données qui comprenait des informations telles que celles trouvées dans le profil public de
Facebook, les préférences de page, l'anniversaire et la ville actuelle. Cause: collecte de
données sans consentement et utiliser ces données à des fins politiques de manière non
autorisée.

3. Marriott Starwood Hotels


Base de données compromise d’environ 500 millions d'invités, quelque 327 millions
d’enregistrements contenant des informations telles que le nom, l’adresse postale, le numéro
de téléphone, l’adresse e-mail, le numéro de passeport, …, et éventuellement numéros de
carte de paiement et dates d'expiration cryptés avec le cryptage AES-128. Cause: Remote
Access Trojan.

4. Facebook
Une attaque a compromis près de 50 millions de comptes d'utilisateurs et d'informations
personnelles (c’était la plus grande infraction de Facebook en 14 ans d’existence) Cause:
Inconnue.
Pour récapituler…les « top threats »

Data breaches (Violations de données)

Data loss (Perte de données)

Hijacked accounts (Comptes piratés)

Cryptojacking

Malicious insiders (Initiés malveillants)

Denial of Service (Déni de service)

Data Location (Emplacement des données)

Ces menaces seront détaillées dans la Leçon2 de la Section1 !

Vous aimerez peut-être aussi