Académique Documents
Professionnel Documents
Culture Documents
2509 Chap09
2509 Chap09
Framework d’évaluation de
la sécurité de l’information
La sécurité du Cloud est une nouvelle occasion d’appliquer les bons principes de
sécurité à un domaine précis de manière à résoudre un ensemble de problèmes don-
nés. Dans cet ouvrage, nous avons jusqu’à présent passé en revue plusieurs aspects
de la sécurité du Cloud. Au Chapitre 4, nous avons examiné les éléments archi-
tecturaux. Au Chapitre 5, nous avons détaillé les exigences sur la sécurité des
données du Cloud. Au Chapitre 6, nous avons présenté des stratégies clés et des
bonnes pratiques pour la sécurité du Cloud. Au Chapitre 7, nous avons décrit
les critères de sécurité qui concernent la mise en place d’un Cloud interne. Enfin, au
Chapitre 8, nous avons donné les critères de sécurité à prendre en compte lors
de la sélection d’un fournisseur externe.
Ce chapitre poursuit sur le contenu précédent et présente les bases d’un framework
destiné à évaluer la sécurité d’un Cloud. Il complète les critères de sécurité recensés
au Chapitre 8 et vise à aller plus loin. Il devrait profiter aux activités qui précè-
dent l’évaluation, la certification ou l’accréditation d’un Cloud. Nous commençons
par passer en revue le travail en cours dans ce domaine, puis nous établissons plu-
sieurs check-lists d’évaluation des critères qui couvrent l’ensemble des activités
sous-jacentes à la sécurité de l’information dans l’informatique en nuage. L’objectif
de ce chapitre est de proposer au lecteur un jeu d’outils méthodique qu’il pourra
utiliser pour évaluer la sécurité d’un Cloud privé, communautaire, public ou hy-
bride. Pour évaluer la sécurité d’un Cloud hybride, il peut être plus facile d’évaluer
chaque instance de Cloud qui le compose à partir d’un ensemble de check-lists. Par
exemple, si le Cloud hybride comprend un Cloud privé et un Cloud public, il suffit
d’évaluer les composants privés à partir d’un jeu de check-lists et d’évaluer les
composants publics dans leurs domaines distincts. En procédant ainsi, vous pouvez
plus facilement comparer les différentes solutions de Cloud public.
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
248 La Sécurité dans le Cloud
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Évaluation de la sécurité d’un Cloud 249
Implémentation
du Cloud
Correction
Évaluation Évaluation
en continu périodique
(gestion du (revue des
changement) contrôles)
Vulnérabilités
signalées/résultats
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
250 La Sécurité dans le Cloud
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 251
Outils
Il existe de nombreux outils pour tester la sécurité, que l’on peut regrouper dans les
principales catégories suivantes :
mm scan de ports pour les services ouverts et actifs ;
mm scan SNMP ;
Plusieurs outils de base ont réussi l’épreuve du temps. Il s’agit notamment de NMAP
pour le scan des ports et de Nessus pour le scan de vulnérabilité d’un hôte. Par ail-
leurs, de nombreux outils récents permettent de tester en profondeur les défenses
de manière à identifier la qualité, la résistance et les vulnérabilités de sécurité. Ces
outils proposent des suites de tests pour un large éventail des besoins de sécurité
des réseaux d’un Cloud.
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
252 La Sécurité dans le Cloud
Attention
Les tests de sécurité, en particulier les tests d’intrusion et les tests de vulnérabilité,
peuvent facilement procurer un faux sentiment de sécurité. Le problème est de deux
ordres :
mm Premièrement, ces tests se fondent sur les connaissances actuelles des vulnérabili-
tés et ne peuvent pas tenir compte des exploits zero-day qui apparaissent réguliè-
rement. De nouvelles vulnérabilités sont découvertes quotidiennement. De temps
à autre, elles surgissent même dans des systèmes pourtant très matures. Une fois
encore, superposer des couches de défense (défense en profondeur) reste la meil-
leure stratégie contre les exploits zero-day.
Autrement dit, les tests de sécurité, en particulier les tests d’intrusion, contrôlent le sys-
tème cible uniquement à un moment donné et avec une étendue limitée. Les systèmes
et les configurations évoluent avec le temps et de nouvelles vulnérabilités peuvent se
révéler des années après qu’un système a été reçu, testé et approuvé. En conclusion,
ces types de tests doivent être considérés comme très superficiels et ne doivent pas
servir à certifier la sécurité. Dans ce cas, pourquoi les effectuer ? Les ingénieurs sécurité
s’accordent généralement pour dire que ces tests présentent une valeur. N’oubliez pas
que vos adversaires pourraient avoir plus de temps et d’intérêts que vous à “tester” vos
systèmes. Par conséquent, faites les tests sérieusement, mais n’en dépendez pas.
Les propriétaires de Clouds peuvent se servir des check-lists pour guider l’évalua-
tion de la sécurité de leurs environnements. S’ils les utilisent comme un framework
permettant d’effectuer un compte rendu de la sécurité de leurs Clouds, alors, les
locataires et utilisateurs potentiels pourront comparer la sécurité relative de plu-
sieurs systèmes. Les check-lists peuvent également être utilisées par les clients
d’un Cloud public pour poser des questions relatives à leurs besoins métiers. Toutes
ces questions ne seront pas pertinentes pour toutes les utilisations ou relations pro-
fessionnelles.
Chacune des sections suivantes s’articule autour d’un ensemble de contrôles ou
d’exigences liées. La Figure 9.2 récapitule les catégories de check-lists et donne
pour chacune d’elles la liste des groupes de contrôles ou d’exigences.
Sécurité de base
Une politique de sécurité définit les exigences ou les règles de sécurité de l’entre-
prise. Elle fixe les contraintes et les conditions sous lesquelles les individus et les
groupes doivent travailler. Elle sert de déclaration des intentions de la direction
vis-à-vis de la sécurité. Les actions de sécurité menées doivent pouvoir être mises
en regard de la politique de sécurité. Il peut exister plusieurs classes de politiques,
par exemple une politique de sécurité globale et des politiques supplémentaires qui
ciblent des aspects plus limités, comme une politique d’utilisation acceptable. La
politique se focalise sur l’obtention des résultats souhaités, non sur des mises en
œuvre particulières.
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 253
Figure 9.2
Vue d’ensemble des check-lists d’évaluation.
Ces politiques sont étendues par d’autres déclarations d’exigences dans des do-
maines précis. Il s’agit généralement de standards qui couvrent des aspects par-
ticuliers, comme les contrôles techniques ou des contraintes de renforcement
spécifiques. Les standards stipulent des actions obligatoires qui sous-tendent la po-
litique. Les directives sont une troisième classe de documentation. Elles sont moins
formelles et orientées bonnes pratiques procédurales. Il s’agit de recommandations
ou de descriptions des pratiques qui aident à atteindre les objectifs d’une politique
de sécurité en décrivant un framework de mise en œuvre des procédures. Autrement
dit, une politique dit pourquoi, un standard dit quoi et une directive dit comment.
La Check-list 9.1 concerne les éléments de sécurité de base associés à la politique,
aux standards et aux directives.
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
254 La Sécurité dans le Cloud
mm Le fournisseur donne-t-il aux clients une copie des politiques, standards et directives
définis ?
mm Les clients sont-ils avertis des modifications apportées aux politiques, standards et
directives ?
mm Le fournisseur autorise-t-il les clients à consulter les audits de conformité effectués
par des tiers ?
mm Le fournisseur autorise-t-il les clients à consulter les résultats des tests d’intrusion ?
mm Le fournisseur autorise-t-il les clients à consulter les résultats des audits internes et
externes ?
mm Le fournisseur donne-t-il aux clients des informations sur sa gestion des actifs et la
réaffectation des équipements ?
Le recours à des sous-traitants ou à des prestataires tiers peut faire peser des risques
sur les clients, à moins que ces fournisseurs ne suivent et ne travaillent en accord
avec les politiques du CSP. La Check-list 9.4 recense les critères qui s’appliquent
aux fournisseurs tiers.
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 255
Considérations métiers
Les différents domaines d’activité des entreprises viennent avec des besoins variés
en matière de sécurité métier. Les considérations métiers comprennent notamment
les aspects légaux, la continuité d’activité et la mise à disposition des ressources.
Les Check-lists 9.5, 9.6 et 9.7 recensent les critères d’évaluation de ces considéra-
tions métiers. La Check-list 9.5 se focalise sur les aspects légaux.
La continuité d’activité peut être critique pour les clients qui utilisent les services
en nuage dans leurs missions. Les critères associés à la continuité d’activité sont
décrits par la Check-list 9.6.
mm Le fournisseur dispose-t-il d’un processus formel ou d’un plan de secours qui docu-
mente et guide la continuité d’activité ?
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
256 La Sécurité dans le Cloud
mm Quelles sont les pertes de données maximales admissibles (RPO, Recovery Point
Objective) et les durées maximales d’interruption admissibles (RTO, Recovery Time
Objective) du service ?
mm La sécurité de l’information englobe-t-elle le rétablissement et la restauration ?
mm Comment le fournisseur signale-t-il aux clients une interruption de service ?
mm Existe-t-il un site secondaire pour la reprise d’activité ?
La continuité d’activité est un sujet complexe qui mérite d’être étudié plus en détail
qu’il n’est possible dans un ouvrage sur la sécurité du Cloud. Le lecteur intéressé
pourra effectuer des recherches sur différents sujets connexes, notamment le plan
de continuité d’activité, le plan de reprise d’activité et le plan de continuité du sys-
tème d’information. Voici quelques ressources :
mm ANSI/ASIS SPC.1-2009, Organizational Resilience: Security, Preparedness,
and Continuity Management Systems—Requirements with Guidance for Use,
American National Standard ;
mm la publication spéciale 800-34 du NIST, Contingency Planning Guide for In-
formation Technology Systems ;
mm l’ouvrage Good Practice Guidelines, disponible en téléchargement à l’adresse
http://www.thebcicertificate.org/bci_gpg.html ;
mm le site du BCI (Business Continuity Institute) à l’URL http://www.thebci.org.
La mise à disposition de ressources dépend directement du fait que le service en
nuage dispose des ressources suffisantes pour répondre aux demandes croissantes
des clients. Pour cela, un fournisseur doit prendre certaines mesures afin de res-
pecter ses accords de niveau de service. Par exemple, il peut mettre en place des
procédures d’ajout de serveurs ou de systèmes de stockage lorsque la demande aug-
mente. La Check-list 9.7 recense les critères d’évaluation qui concernent la mise à
disposition de ressources.
mm Quels sont les contrôles et les procédures en place pour gérer l’épuisement des res-
sources, notamment les dépassements en processeur, le manque de mémoire, d’espace
de stockage et l’encombrement réseau ?
mm Le fournisseur limite-t-il les abonnements aux services de manière à pouvoir respecter
ses SLA ?
mm Le fournisseur donne-t-il aux clients des informations sur sa planification de l’utilisa-
tion et de la capacité ?
© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler