Table de matière : • Le Cloud : * Le Cloud, c’est quoi? * Avantages du Cloud. * Inconvénients du Cloud. • La sécurité dans le Cloud : * La sécurité du Cloud est une responsabilité partagée : - Utiliser des logiciels fiables. - Comprendre les exigences en matière de conformité. - Assurer une surveillance en continu. * Les Clouds publics sont-ils vraiment sûrs ? * Limiter les risques avec le cloud hybride. Le Cloud, c’est quoi ? Le terme Cloud (nuage en anglais), particulièrement dans l'air du temps, recouvre l'ensemble des solutions de stockage distant. En clair, vos données, au lieu d'être stockées sur vos disques durs ou mémoires, sont disponibles sur des serveurs distants et accessibles par internet. Les différents intervenants disposent à cet effet de gigantesques champs de serveurs de stockages appelés Datacenter. Le Cloud est aussi souvent appelé Cloud Computing ou Nuage Informatique. Les services du Cloud Les services cloud peuvent prendre la forme d'une infrastructure, d'une plateforme ou d'un logiciel, hébergés par des fournisseurs tiers et mis à disposition des utilisateurs par Internet. Il existe trois principaux types de solutions « aaS » (as-a- Service) : IaaS, PaaS et SaaS. S'ils diffèrent par les services fournis, ces trois types de solutions permettent tous de faciliter le flux des données utilisateur par Internet entre les clients front-end et les systèmes du fournisseur de services cloud. laaS Dans le modèle laaS, c'est un fournisseur de service cloud qui gère pour vous toute l'infrastructure, à savoir les serveurs, le réseau, la virtualisation et le stockage des données, via une connexion Internet. L'utilisateur qui loue l'infrastructure peut y accéder au moyen d'une API ou d'un tableau de bord. L'utilisateur gère le système d'exploitation, les applications et les solutions de middleware, tandis que le fournisseur prend en charge le matériel, le réseau, les disques durs, le système de stockage et les serveurs. Le fournisseur est également responsable de la résolution des pannes et problèmes matériels ainsi que des réparations. Il s'agit du modèle de déploiement typique des fournisseurs de stockage du cloud. PaaS Avec le PaaS, le matériel et la plateforme logiciel- application sont fournis et gérés par un prestataire de services cloud externe. L'utilisateur doit se charger lui- même de la gestion de l'application exécutée sur la plateforme, ainsi que des données dont l'application dépend. D'abord destiné aux développeurs et aux programmeurs, le PaaS offre à l'utilisateur une plateforme cloud partagée pour le développement et la gestion d'applications (une composante essentielle du DevOps), sans avoir à créer ni entretenir l'infrastructure généralement associée au processus. SaaS Le SaaS est un service qui fournit aux utilisateurs une application logicielle gérée par le prestataire de services cloud. Les applications SaaS sont généralement des applications web ou mobile auxquelles les utilisateurs peuvent accéder avec un navigateur web. Les mises à jour logicielles, les corrections de bogues et les autres tâches de maintenance logicielle sont prises en charge pour l'utilisateur, qui peut se connecter aux applications cloud via un tableau de bord ou une API. Avec le SaaS, il n'est plus nécessaire d'installer une application localement sur l'ordinateur de chaque utilisateur. Ainsi, vous pouvez améliorer les méthodes d'accès au logiciel pour tout un groupe ou une équipe. Les types du cloud Il existe différents types de cloud selon les préférences de chaque organisation : le cloud privé, le cloud public et le cloud hybride. • Dans le cloud privé, l’organisation va devoir gérer l’ensemble de son infrastructure. Elle possède son propre datacenter, localisé dans ses bâtiments ou bien à faible distance. Elle exploite et opère en interne ou via un prestataire son infrastructure, donc son réseau, son stockage et ses serveurs. On entend parfois «cloud local» ou encore d’«hébergement on-premises». C’est la même définition, donc c’est du cloud privé. Du moment où l’on bénéficie de ressources non mutualisées, on est sur du cloud privé. Les types du cloud • Dans le cloud public, l’externalisation est opérée par un cloud provider, comme Microsoft. Une délégation est réalisée et c’est le fournisseur de cloud qui gère le datacenter. • Enfin, dans le cloud computing, on parle de cloud hybride ou d’hybridation quand on utilise à la fois du cloud privé et du cloud public en les interconnectant. » Avantages du Cloud. D'abord, plus besoin d'avoir un gros espace de stockage sur soi, ce qui est bien pratique pour nos appareils nomades connectés à la capacité de stockage limitée comme les smartphones et les tablettes. On atteint vite la limite sur une tablette de 16 Go, 32 ou 64 Go, à comparer à un disque dur pour ordinateur dont les derniers modèles disposent de 4 To d'espace (4000 Giga-octets donc). Vous pouvez ainsi réserver votre espace de stockage exclusivement aux utilisations hors connexion. Avantages du Cloud. L'autre avantage est que vous pouvez y avoir accès partout, que vous soyez sur votre lieu de travail, en vacances, en déplacement, pourvu que vous ayez un accès internet bien évidemment. Un exemple parlant est le OneDrive de Windows. Vous stockez un fichier Excel sur votre ordinateur de bureau à la maison, et vous pouvez continuer à travailler dessus à partir d'un Windows Phone, ou d'une tablette sous Windows RT, mais aussi d'un smartphone ou tablette Apple ou Android puisque l'application OneDrive existe aussi sur ces systèmes d'exploitation. Mobilité entre appareils et mobilité entre plateformes donc. Avantages du Cloud. Et enfin, la sauvegarde de vos données est implicite puisqu'elles ne sont plus stockées en local. Votre appareil tombe en panne, votre disque dur vous lâche ? Vous pourrez récupérer vos données qui sont disponibles sur le Cloud que vous aurez choisi. Vous passez à la dernière version de votre appareil Apple ? vous pourrez récupérer les applications déjà acquises en vous connectant à votre compte. Inconvénients du Cloud. Son principe même implique que vos données sont accessibles uniquement en ligne, donc vous êtes extrêmement limité en hors connexion. Avec le Cloud, l'utilisateur est extrêmement dépendant du réseau. Si vous souhaitez accéder à des données disponibles exclusivement sur le Cloud, et que vous êtes bloqué en cas de panne de réseau, ou si vous vous trouvez dans un endroit mal ou pas desservi (si ça existe encore !), vous ne pourrez pas le faire. Inconvénients du Cloud. Se pose aussi la question de l'utilisation des données. Stocker ses données sur le Cloud implique que vous ayez toute confiance dans le gestionnaire du service. Mais qui garantit qu'elles ne seront pas utilisées ou revendues à des fins commerciales ? De nombreux exemples passés montrent qu'on ne peut pas avoir une confiance aveugle dans les belles déclarations de principe des intervenants du net. Surtout que le potentiel marketing des données stockées est énorme, car elles renseignent sur vos goûts, vos habitudes, vos centres d'intérêt, etc... Inconvénients du Cloud. La sécurité de vos données est également un point d'achoppement concernant le Cloud. Diverses affaires récentes ont démontré qu'il était possible à des hackers talentueux de pirater les serveurs de stockages de grandes sociétés Internet et d'ainsi accéder à des informations confidentielles. Certes, le danger de piratage existe aussi au niveau utilisateur particulier, mais on imagine sans mal les dégâts que pourrait produire l'accès à une concentration de données stockées à un endroit précis. La sécurité dans le Cloud La sécurité dans le cloud correspond à la protection des données, applications et infrastructures impliquées dans le cloud computing . Plusieurs aspects de la sécurité dans les environnements cloud (public, privé ou hybride) sont similaires à ceux d'une architecture sur site. Certains problèmes de sécurité critiques (tels que l'exposition et la fuite de données sensibles, les contrôles d'accès faibles, la vulnérabilité aux cyberattaques, les interruptions de la disponibilité) affectent les systèmes traditionnels aussi bien que les systèmes cloud. La sécurité dans le Cloud Pour assurer la sécurité dans le cloud, comme dans n'importe quel autre environnement informatique, vous devez prévoir des mesures de protection adéquates pour : • garantir la sécurité des données et des systèmes ; • connaître l'état actuel de la sécurité ; • détecter immédiatement tout événement inhabituel ; • suivre les événements inattendus et réagir ; La sécurité du Cloud est une responsabilité partagée Quel que soit le cloud que vous avez choisi de déployer, vous êtes responsable de la sécurité de votre espace au sein de ce cloud. Vous avez opté pour un cloud géré par un prestataire tiers ? Attention, cela ne signifie pas pour autant que vous pouvez vous en désintéresser. Les failles de sécurité découlent souvent d'un manque de précautions. La sécurité du cloud concerne tout le monde et pour vous en assurer, appliquez les principes de précaution suivants : Utiliser des logiciels fiables Le contenu de votre cloud a de l'importance. Comme pour n'importe quel code que vous téléchargez à partir d'une source externe, vous devez chercher à savoir d'où viennent les paquets que vous téléchargez, qui les a créés et s'ils contiennent du code malveillant. Téléchargez vos logiciels à partir de sources fiables et connues et assurez-vous qu'ils incluent des mécanismes pour récupérer et installer les mises à jour au moment opportun. Comprendre les exigences en matière de conformité Les données personnelles, financières et autres informations sensibles peuvent être soumises à des réglementations strictes. Les lois varient en fonction de l'endroit où vous menez vos activités (et des parties prenantes avec lesquelles vous les menez). Par exemple, dans l'Union européenne, c'est le Règlement général sur la protection des données (RGPD) qui s'applique. Vérifiez bien les exigences en matière de conformité qui vous concernent avant de choisir votre cloud. Assurer une surveillance en continu En surveillant ce qui se passe dans vos environnements de travail, vous pouvez éviter les failles de sécurité ou du moins en réduire les effets négatifs. Une plateforme de gestion du cloud unifiée (Red Hat CloudForms par exemple) peut vous aider à surveiller l'intégralité des ressources présentes dans votre environnement. Les Clouds publics sont-ils vraiment sûrs ? C'est une bonne question, alors parlons-en. Nous avons déjà abordé les différences entre les trois clouds (public, privé, hybride), mais ce qui vous préoccupe vraiment, c'est la sécurité au sein des Clouds publics. Sachez que tout dépend de leur utilisation. Les Clouds publics sont suffisamment sécurisés pour la plupart des charges de travail, mais ils ne sont pas pour autant adaptés à tous les cas, notamment parce qu'ils ne sont pas isolés comme les Clouds privés. Un cloud public vous permet de prendre en charge plusieurs clients. Les Clouds publics sont-ils vraiment sûrs ? Heureusement, vous pouvez compter sur plusieurs normes de sécurité, réglementations et structures de contrôle reconnues par le secteur, notamment la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance (CSA). Vous pouvez également vous isoler au sein d'un environnement multi-client en déployant certaines mesures de sécurité supplémentaires (comme le chiffrement ou des techniques de mitigation de DDoS) qui protègent les charges de travail sur une infrastructure compromise. Et si cela ne suffit pas, vous pouvez déployer des solutions CASB (Cloud Access Security Brokers) pour surveiller les activités et renforcer les politiques de sécurité pour les fonctions d'entreprise peu risquées. Toutefois, toutes ces précautions ne suffisent souvent pas dans les secteurs régis par des règles de confidentialité, de sécurité et de conformité très strictes. Limiter les risques avec le cloud hybride Les décisions en matière de sécurité dépendent fortement du niveau de tolérance aux risques et de l'analyse coûts-avantages. De quelle manière les risques et les avantages potentiels peuvent-ils affecter l'état global de votre entreprise ? Quelles sont les priorités ? Toutes les charges de travail ne nécessitent pas le même niveau de chiffrement et de sécurité. Prenons un exemple concret : en verrouillant la porte de votre domicile, vous mettez tous vos biens en sécurité, mais cela ne vous empêche pas d'enfermer quand même vos objets de valeur dans un coffre-fort. Il est toujours intéressant de disposer de plusieurs options. Limiter les risques avec le cloud hybride Et c'est exactement pour cette raison que de nombreuses entreprises se tournent aujourd'hui vers les clouds hybrides, qui vous offrent tous les avantages de tous les types de clouds. Un cloud hybride est la combinaison d'au moins deux environnements de cloud interconnectés, publics ou privés. En effet, les clouds hybrides vous donnent la possibilité de répartir vos charges de travail et vos données en fonction des exigences en matière de conformité, d'audit, de politique ou de sécurité. Vous pouvez ainsi protéger les charges de travail sensibles dans un cloud privé et exécuter les charges de travail moins critiques dans un cloud public. Bien qu'il existe quelques problèmes de sécurité spécifiques au cloud hybride (comme la migration des données, l'accroissement de la complexité et l'élargissement de la surface d'attaque), la présence de plusieurs environnements constitue une barrière solide contre les risques de sécurité. Ressources • https://www.redhat.com/fr/topics/security/cloud- security • https://kinsta.com/fr/blog/securite- cloud/#meilleures-pratiques-pour-la-scurit-du-cloud • https://www.fnac.com/Le-Cloud-c-est- quoi/cp19667/w-4 MERCI POUR VOTRE ATTENTION ! VOS QUESTIONS !