Sécurité d'accès réseau au Cloud

AJBILOU Mohammed AMAKSSOUM Amar AZAHRIOU Fatima

Encadré par : Dr. KANNOUF Nabil

 Table de matière :
• Le Cloud :
* Le Cloud, c’est quoi?
* Avantages du Cloud.
* Inconvénients du Cloud.
• La sécurité dans le Cloud :
* La sécurité du Cloud est une responsabilité partagée :
- Utiliser des logiciels fiables.
- Comprendre les exigences en matière de conformité.
- Assurer une surveillance en continu.
* Les Clouds publics sont-ils vraiment sûrs ?
* Limiter les risques avec le cloud hybride.
Le Cloud, c’est quoi ?
Le terme Cloud (nuage en anglais), particulièrement
dans l'air du temps, recouvre l'ensemble des solutions
de stockage distant. En clair, vos données, au lieu
d'être stockées sur vos disques durs ou
mémoires, sont disponibles sur des serveurs distants
et accessibles par internet. Les différents intervenants
disposent à cet effet de gigantesques champs de
serveurs de stockages appelés Datacenter. Le Cloud
est aussi souvent appelé Cloud Computing ou Nuage
Informatique.
Les services du Cloud
Les services cloud peuvent prendre la forme d'une
infrastructure, d'une plateforme ou d'un logiciel,
hébergés par des fournisseurs tiers et mis à
disposition des utilisateurs par Internet. Il existe
trois principaux types de solutions « aaS » (as-a-
Service) : IaaS, PaaS et SaaS. S'ils diffèrent par les
services fournis, ces trois types de solutions
permettent tous de faciliter le flux des données
utilisateur par Internet entre les clients front-end et les
systèmes du fournisseur de services cloud.
 laaS
Dans le modèle laaS, c'est un fournisseur de service cloud
qui gère pour vous toute l'infrastructure, à savoir les
serveurs, le réseau, la virtualisation et le stockage des
données, via une connexion Internet. L'utilisateur qui loue
l'infrastructure peut y accéder au moyen d'une API ou d'un
tableau de bord. L'utilisateur gère le système
d'exploitation, les applications et les solutions
de middleware, tandis que le fournisseur prend en charge
le matériel, le réseau, les disques durs, le système de
stockage et les serveurs. Le fournisseur est également
responsable de la résolution des pannes et problèmes
matériels ainsi que des réparations. Il s'agit du modèle de
déploiement typique des fournisseurs de stockage du
cloud.
 PaaS
Avec le PaaS, le matériel et la plateforme logiciel-
application sont fournis et gérés par un prestataire de
services cloud externe. L'utilisateur doit se charger lui-
même de la gestion de l'application exécutée sur la
plateforme, ainsi que des données dont l'application
dépend. D'abord destiné aux développeurs et aux
programmeurs, le PaaS offre à l'utilisateur une
plateforme cloud partagée pour le développement et la
gestion d'applications (une composante essentielle du
DevOps), sans avoir à créer ni entretenir l'infrastructure
généralement associée au processus.
 SaaS
Le SaaS est un service qui fournit aux utilisateurs une
application logicielle gérée par le prestataire de services
cloud. Les applications SaaS sont généralement des
applications web ou mobile auxquelles les utilisateurs
peuvent accéder avec un navigateur web. Les mises à
jour logicielles, les corrections de bogues et les autres
tâches de maintenance logicielle sont prises en charge
pour l'utilisateur, qui peut se connecter aux applications
cloud via un tableau de bord ou une API. Avec le SaaS, il
n'est plus nécessaire d'installer une application
localement sur l'ordinateur de chaque utilisateur. Ainsi,
vous pouvez améliorer les méthodes d'accès au logiciel
pour tout un groupe ou une équipe.
Les types du cloud
Il existe différents types de cloud selon les préférences de
chaque organisation : le cloud privé, le cloud public et
le cloud hybride.
• Dans le cloud privé, l’organisation va devoir gérer
l’ensemble de son infrastructure. Elle possède son
propre datacenter, localisé dans ses bâtiments ou bien
à faible distance. Elle exploite et opère en interne ou
via un prestataire son infrastructure, donc son réseau,
son stockage et ses serveurs. On entend parfois
«cloud local» ou encore d’«hébergement on-premises».
C’est la même définition, donc c’est du cloud privé. Du
moment où l’on bénéficie de ressources non
mutualisées, on est sur du cloud privé.
Les types du cloud
• Dans le cloud public, l’externalisation est opérée par
un cloud provider, comme Microsoft. Une
délégation est réalisée et c’est le fournisseur de
cloud qui gère le datacenter.
• Enfin, dans le cloud computing, on parle de cloud
hybride ou d’hybridation quand on utilise à la fois du
cloud privé et du cloud public en les
interconnectant. »
Avantages du Cloud.
D'abord, plus besoin d'avoir un gros espace de
stockage sur soi, ce qui est bien pratique pour nos
appareils nomades connectés à la capacité de
stockage limitée comme les smartphones et les
tablettes. On atteint vite la limite sur une tablette de 16
Go, 32 ou 64 Go, à comparer à un disque dur pour
ordinateur dont les derniers modèles disposent de 4 To
d'espace (4000 Giga-octets donc). Vous pouvez
ainsi réserver votre espace de
stockage exclusivement aux utilisations hors
connexion.
Avantages du Cloud.
L'autre avantage est que vous pouvez y avoir accès
partout, que vous soyez sur votre lieu de travail, en
vacances, en déplacement, pourvu que vous ayez un
accès internet bien évidemment. Un exemple parlant
est le OneDrive de Windows. Vous stockez un fichier
Excel sur votre ordinateur de bureau à la maison, et
vous pouvez continuer à travailler dessus à partir d'un
Windows Phone, ou d'une tablette sous Windows RT,
mais aussi d'un smartphone ou tablette Apple ou
Android puisque l'application OneDrive existe aussi sur
ces systèmes d'exploitation. Mobilité entre appareils et
mobilité entre plateformes donc.
Avantages du Cloud.
Et enfin, la sauvegarde de vos données est
implicite puisqu'elles ne sont plus stockées en local.
Votre appareil tombe en panne, votre disque dur vous
lâche ? Vous pourrez récupérer vos données qui sont
disponibles sur le Cloud que vous aurez choisi. Vous
passez à la dernière version de votre appareil Apple ?
vous pourrez récupérer les applications déjà acquises
en vous connectant à votre compte.
Inconvénients du Cloud.
Son principe même implique que vos données sont
accessibles uniquement en ligne, donc vous êtes
extrêmement limité en hors connexion. Avec le Cloud,
l'utilisateur est extrêmement dépendant du réseau. Si
vous souhaitez accéder à des données disponibles
exclusivement sur le Cloud, et que vous êtes bloqué en
cas de panne de réseau, ou si vous vous trouvez dans
un endroit mal ou pas desservi (si ça existe encore !),
vous ne pourrez pas le faire.
Inconvénients du Cloud.
Se pose aussi la question de l'utilisation des données.
Stocker ses données sur le Cloud implique que vous
ayez toute confiance dans le gestionnaire du service.
Mais qui garantit qu'elles ne seront pas utilisées ou
revendues à des fins commerciales ? De nombreux
exemples passés montrent qu'on ne peut pas avoir une
confiance aveugle dans les belles déclarations de
principe des intervenants du net. Surtout que
le potentiel marketing des données stockées est
énorme, car elles renseignent sur vos goûts,
vos habitudes, vos centres d'intérêt, etc...
Inconvénients du Cloud.
La sécurité de vos données est également un point
d'achoppement concernant le Cloud. Diverses affaires
récentes ont démontré qu'il était possible à des
hackers talentueux de pirater les serveurs de
stockages de grandes sociétés Internet et d'ainsi
accéder à des informations confidentielles. Certes, le
danger de piratage existe aussi au niveau utilisateur
particulier, mais on imagine sans mal les dégâts que
pourrait produire l'accès à une concentration de
données stockées à un endroit précis.
La sécurité dans le Cloud
La sécurité dans le cloud correspond à la protection
des données, applications et infrastructures
impliquées dans le cloud computing . Plusieurs
aspects de la sécurité dans les environnements cloud
(public, privé ou hybride) sont similaires à ceux d'une
architecture sur site.
Certains problèmes de sécurité critiques (tels que
l'exposition et la fuite de données sensibles, les
contrôles d'accès faibles, la vulnérabilité aux
cyberattaques, les interruptions de la disponibilité)
affectent les systèmes traditionnels aussi bien que les
systèmes cloud.
La sécurité dans le Cloud
Pour assurer la sécurité dans le cloud, comme dans
n'importe quel autre environnement informatique, vous
devez prévoir des mesures de protection adéquates
pour :
• garantir la sécurité des données et des systèmes ;
• connaître l'état actuel de la sécurité ;
• détecter immédiatement tout événement inhabituel ;
• suivre les événements inattendus et réagir ;
La sécurité du Cloud est une
responsabilité partagée
Quel que soit le cloud que vous avez choisi de
déployer, vous êtes responsable de la sécurité de votre
espace au sein de ce cloud. Vous avez opté pour un
cloud géré par un prestataire tiers ? Attention, cela ne
signifie pas pour autant que vous pouvez vous en
désintéresser. Les failles de sécurité découlent
souvent d'un manque de précautions. La sécurité du
cloud concerne tout le monde et pour vous en assurer,
appliquez les principes de précaution suivants :
Utiliser des logiciels fiables
Le contenu de votre cloud a de l'importance. Comme
pour n'importe quel code que vous téléchargez à partir
d'une source externe, vous devez chercher à savoir
d'où viennent les paquets que vous téléchargez, qui les
a créés et s'ils contiennent du code malveillant.
Téléchargez vos logiciels à partir de sources fiables et
connues et assurez-vous qu'ils incluent des
mécanismes pour récupérer et installer les mises à
jour au moment opportun.
Comprendre les exigences en matière de
conformité
Les données personnelles, financières et autres
informations sensibles peuvent être soumises à des
réglementations strictes. Les lois varient en fonction
de l'endroit où vous menez vos activités (et des parties
prenantes avec lesquelles vous les menez). Par
exemple, dans l'Union européenne, c'est le Règlement
général sur la protection des données (RGPD) qui
s'applique. Vérifiez bien les exigences en matière de
conformité qui vous concernent avant de choisir votre
cloud.
Assurer une surveillance en continu
En surveillant ce qui se passe dans vos
environnements de travail, vous pouvez éviter les
failles de sécurité ou du moins en réduire les effets
négatifs. Une plateforme de gestion du cloud unifiée
(Red Hat CloudForms par exemple) peut vous aider à
surveiller l'intégralité des ressources présentes dans
votre environnement.
Les Clouds publics sont-ils vraiment sûrs ?
C'est une bonne question, alors parlons-en. Nous
avons déjà abordé les différences entre les trois clouds
(public, privé, hybride), mais ce qui vous préoccupe
vraiment, c'est la sécurité au sein des Clouds publics.
Sachez que tout dépend de leur utilisation.
Les Clouds publics sont suffisamment sécurisés pour
la plupart des charges de travail, mais ils ne sont pas
pour autant adaptés à tous les cas, notamment parce
qu'ils ne sont pas isolés comme les Clouds privés. Un
cloud public vous permet de prendre en
charge plusieurs clients.
Les Clouds publics sont-ils vraiment sûrs ?
Heureusement, vous pouvez compter sur plusieurs normes de
sécurité, réglementations et structures de contrôle reconnues par le
secteur, notamment la matrice CCM (Cloud Control Matrix) de la
Cloud Security Alliance (CSA). Vous pouvez également vous isoler
au sein d'un environnement multi-client en déployant certaines
mesures de sécurité supplémentaires (comme le chiffrement ou des
techniques de mitigation de DDoS) qui protègent les charges de
travail sur une infrastructure compromise. Et si cela ne suffit pas,
vous pouvez déployer des solutions CASB (Cloud Access
Security Brokers) pour surveiller les activités et renforcer les
politiques de sécurité pour les fonctions d'entreprise peu risquées.
Toutefois, toutes ces précautions ne suffisent souvent pas dans les
secteurs régis par des règles de confidentialité, de sécurité et de
conformité très strictes.
Limiter les risques avec le cloud hybride
Les décisions en matière de sécurité dépendent
fortement du niveau de tolérance aux risques et de
l'analyse coûts-avantages. De quelle manière les
risques et les avantages potentiels peuvent-ils affecter
l'état global de votre entreprise ? Quelles sont les
priorités ? Toutes les charges de travail ne nécessitent
pas le même niveau de chiffrement et de
sécurité. Prenons un exemple concret : en verrouillant la
porte de votre domicile, vous mettez tous vos biens en
sécurité, mais cela ne vous empêche pas d'enfermer
quand même vos objets de valeur dans un coffre-fort. Il
est toujours intéressant de disposer de plusieurs
options.
Limiter les risques avec le cloud hybride
Et c'est exactement pour cette raison que de nombreuses
entreprises se tournent aujourd'hui vers les clouds hybrides,
qui vous offrent tous les avantages de tous les types de
clouds. Un cloud hybride est la combinaison d'au moins deux
environnements de cloud interconnectés, publics ou privés.
En effet, les clouds hybrides vous donnent la possibilité de
répartir vos charges de travail et vos données en fonction
des exigences en matière de conformité, d'audit, de politique
ou de sécurité. Vous pouvez ainsi protéger les charges de
travail sensibles dans un cloud privé et exécuter les charges
de travail moins critiques dans un cloud public. Bien qu'il
existe quelques problèmes de sécurité spécifiques au cloud
hybride (comme la migration des données, l'accroissement
de la complexité et l'élargissement de la surface d'attaque), la
présence de plusieurs environnements constitue une barrière
solide contre les risques de sécurité.
Ressources
• https://www.redhat.com/fr/topics/security/cloud-
security
• https://kinsta.com/fr/blog/securite-
cloud/#meilleures-pratiques-pour-la-scurit-du-cloud
• https://www.fnac.com/Le-Cloud-c-est-
quoi/cp19667/w-4
MERCI POUR VOTRE ATTENTION !
VOS QUESTIONS !