Académique Documents
Professionnel Documents
Culture Documents
I. Introduction :
Dans ce chapitre, nous présenterons les concepts de base des différentes techniques utilisées
lors de la mise en œuvre du projet. Dans un premier temps, nous présentons le cloud
computing, ses principes, les différents services qu'il propose, les modèles de déploiement, ses
avantages et ses inconvénients. Ensuite, nous attaquons le concept de sécurité du système
d’information, finalement nous présentons le système d’information.
Le cloud computing résout ces problèmes en proposant des ressources informatiques sous
forme de services évolutifs à la demande. Découvrez Google Cloud, une suite de modèles de
service de cloud computing proposée par Google.
Le plus souvent, la « migration vers le cloud » décrit le passage d’une infrastructure locale ou
héritée vers le cloud. Cependant, le terme peut également s’appliquer à une migration d’un
cloud vers un autre.
En informatique, le matériel ou les logiciels sont considérés comme « hérités » s’ils sont
obsolètes mais toujours utilisés. Les produits et processus existants ne sont généralement pas
aussi efficaces ou sécurisés que les solutions plus récentes. Les entreprises coincées dans
l’exploitation de systèmes existants risquent de prendre du retard sur leurs concurrents; ils
sont également confrontés à un risque accru de violation de données.
Les logiciels ou les matériels hérités peuvent devenir peu fiables, s’exécuter lentement ou ne
plus être pris en charge par le fournisseur d’origine. Windows XP, par exemple, est un
système d’exploitation hérité : sorti en 2001, ses capacités ont été dépassées par les versions
ultérieures de Windows, et Microsoft ne prend plus en charge le système d’exploitation en
publiant des correctifs ou des mises à jour pour celui-ci.
L’infrastructure comprend les serveurs, l’équipement réseau, les applications, les bases de
données et tout autre logiciel ou matériel critique pour l’entreprise. L’infrastructure héritée,
telle que les serveurs vieillissants ou les appliances de pare-feu physiques, peut ralentir les
processus métier d’une entreprise. Cela peut également ajouter plus de risques de sécurité car
les fournisseurs d’origine abandonnent la prise en charge de leurs produits et cessent de
publier des correctifs de sécurité.
L’infrastructure héritée est généralement hébergée sur site, ce qui signifie qu’elle est
physiquement située dans des bâtiments ou sur une propriété où l’organisation opère. Par
exemple, de nombreuses entreprises hébergent un centre de données sur site dans le même
bâtiment où travaillent leurs employés.
Les entreprises qui s’appuient sur une infrastructure existante sur site ne peuvent pas profiter
des avantages du cloud computing. Pour cette raison, la plupart des entreprises ont
aujourd’hui effectué au moins une migration partielle vers le cloud.
L’environnement cloud est accessible via une URL afin qu’il soit accessible en dehors des
locaux de travail (selon l’autorisation).
(selon autorisation).
même infrastructure.
serveur/ordinateur
Il est accessible de partout Des autorisations
l’extérieur du réseau.
virtuelles.
virtualisation d’applications.
Types
Le cloud est l’avenir des entreprises. Mais, comme toute nouvelle technologie, il peut être
difficile à comprendre. Quelle est la différence entre les différents types de cloud ? Comment
choisir celui qui convient le mieux à votre entreprise ?
Il existe trois principaux types de cloud computing : cloud public, cloud privé, cloud hybride.
Il existe aussi trois principaux types de services de cloud computing : IaaS (Infrastructure-as-
a-Service), PaaS (Platform-as-a-Service) et SaaS (Software-as-a-Service).
a. Le Cloud public
Le cloud public est le type de déploiement de Cloud Computing le plus courant. Il est partagé
par de nombreux utilisateurs, ce qui signifie qu’il n’est pas dédié à une seule entreprise ou
organisation. L’avantage d’utiliser ce type de système est qu’il est accessible à toute personne
disposant d’une connexion Internet, mais cela signifie également que vous ne possédez aucun
des serveurs qui composent votre système. Vous payez pour ce que vous utilisez et rien de
plus. Des déploiements cloud publics sont fréquemment utilisés pour fournir des services de
courrier, des applications bureautiques, de l’espace de stockage, ainsi que des environnements
de développement et de test en ligne.
b. Le Cloud privé
Les clouds privés sont souvent le choix d’organismes publics, d’institutions financières et
d’autres organisations de taille moyenne à grande, dont les opérations stratégiques doivent se
dérouler dans un environnement soumis à un contrôle optimal.
c. Le Cloud hybride
Le cloud hybride est un type de cloud computing qui s’appuie sur une structure combinant
cloud privé et cloud public, parfois en complément d’une infrastructure locale. Les clouds
hybrides permettent aux données et aux applications de se déplacer entre les deux
environnements. Il allie les avantages des deux modèles pour assurer flexibilité, réactivité et
sécurité. Il s’agit de la solution idéale pour absorber un pic d’activité ou pour un besoin
ponctuel en ressources, par exemple.
Il existe trois principaux modèles de cloud computing public, « as-a-Service », chacun offrant
un certain degré de gestion : IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service)
et SaaS (Software-as-a-Service).
Nous sommes conscients des avantages du cloud computing pour une entreprise. Cependant,
il y a aussi des limites.
La confidentialité des données : Le fournisseur possède la main mise sur toutes vos
données, il peut les utiliser à des fins commerciales par exemple. Vous devez lui
accorder une totale confiance. Cependant, vous n’êtes pas à l’abri d’une attaque telle
que le piratage.
La connexion internet : Lorsque l’on travaille avec le cloud, nous sommes
dépendants car on a nécessairement besoin d’une connexion internet efficace et fluide.
Cela est nécessaire afin d’accéder aux fichiers, de les modifier et de les sauvegarder à
nouveau. Cependant, il y a désormais la possibilité d’avoir un accès “hors ligne” au
drive de Google par exemple.
Les fonctionnalités disponibles : Nous sommes d’accord sur le fait que tous les
fournisseurs ne proposent pas la même qualité de services. De ce fait, certaines
fonctionnalités sont gratuites mais limitées et il est demandé de payer afin de
bénéficier de la version supérieure (plus de stockage, plus de fonctionnalités…).
Les problèmes techniques : Nous ne sommes pas à l’abri d’un problème technique,
le prestataire est chargé de la maintenance et des mises à jour mais en attendant,
n’ayant pas la main dessus, nous pouvons être pénalisés le temps de la réparation.
Le cloud fonctionne essentiellement sur Internet, et la sécurité du cloud fait référence aux
mesures mises en œuvre pour résoudre en particulier les problèmes découlant des opérations
basées sur le cloud. Lorsque nous accédons et stockons des objets sur le cloud, nous utilisons
des serveurs distants avec une connexion Internet au lieu du matériel local. Cela équivaut à
louer un espace physique dans une unité de stockage. Les fournisseurs de services cloud
(CSP) s’occupent de l’allocation et de la maintenance de cet espace physique pour vos actifs.
Comme indiqué ci-dessus, chaque type de déploiement s’accompagne d’un ensemble unique
de défis en matière de sécurité. La nature inhérente d’une architecture basée sur le
cloud implique une responsabilité de sécurité partagée entre le fournisseur de services cloud et
le consommateur. Cela le rend plus compliqué que les configurations traditionnelles sur site.
Avec le cloud computing, le périmètre d’une attaque n’est pas aussi défini que les
configurations traditionnelles, car il est similaire à une clôture mobile. Il y a un mouvement
constant des données entre le système d’entreprise et les appareils gérés et non gérés. Cela
signifie que les mesures de sécurité ne peuvent pas être axées uniquement sur les attaques
liées aux logiciels malveillants. Il implique plusieurs couches de pare-feu, l’une pour la
communication externe et l’autre pour la gestion interne.
L’avenir des applications d’entreprise est présenté comme étant profondément enchevêtré
dans le cloud computing, et les statistiques actuelles le reflètent. Le rapport 2022 de McAfee
sur l’adoption et les risques liés au cloud montre qu’une entreprise moyenne utilise environ 1
935 services cloud. L’informatique en nuage répond à notre scène technologique en évolution
rapide et géographiquement distribuée. Il répond également aux besoins des petites
entreprises et des startups qui n’ont pas le capital nécessaire pour investir dans leur propre
infrastructure.
La Cloud Security Alliance (CSA) examine chaque année les risques inhérents au calcul dans
le cloud et publie un rapport. Le dernier rapport s’est concentré sur les problèmes de
configuration et d’authentification au lieu de se concentrer traditionnellement sur les logiciels
malveillants et les vulnérabilités. Avec l’augmentation des quantités de données sensibles
hébergées sur le cloud, ces risques deviennent cruciaux pour la continuité des activités. Voici
les risques liés au déplacement total ou même partiel de l’infrastructure vers une configuration
cloud.
a. Des frontières en constante évolution
Avant l’arrivée officielle du cloud computing, les périmètres du réseau étaient bien définis.
Toute modification de ces limites était lente et sous le contrôle de l’entreprise. Les
environnements cloud, cependant, n’ont pas de limite bien définie. Les tactiques de cyber
sécurité testées de défense périmétrique ne sont donc pas suffisantes. Avec le cloud
computing, la question de la sécurité n’est plus limitée au blocage des pirates informatiques à
la clôture. La sécurité doit également se concentrer sur la sécurité des données.
Les CSP n’exposent pas tous les détails et le contrôle total de l’infrastructure à leurs clients.
Cela signifie que l’équipe d’administration de la société cliente ne dispose pas de toutes les
informations qu’elle possédait avec une configuration sur site uniquement. Dans un tel cas, il
devient difficile d’identifier et de visualiser tous les actifs cloud.
L’une des meilleures choses à propos de l’utilisation d’un CSP est le provisionnement et la
mise hors service à la demande des ressources. Cela signifie que l’environnement de travail
est en constante évolution. Cela signifie également que l’infrastructure est mise à l’échelle à
un rythme très rapide. Une stratégie de sécurité cloud est cruciale pour résoudre ce problème
heureux afin d’éviter les failles de sécurité. Toutes les stratégies de sécurité doivent
s’appliquer uniformément sur différents clouds et segments sur site.
La conformité au cloud est importante car des lois telles que le RGPD qui régissent comment
et où les données sont stockées entrent en vigueur partout. Tout faux pas dans cette direction
peut entraîner des ramifications juridiques et financières. Les organisations doivent répondre à
des questions importantes dans les SLA du fournisseur de services cloud.
La plupart des organisations utilisent l’intégration continue/livraison continue (CI/CD) pour
des mises à jour constantes des applications avec un temps d’arrêt minimal. CI/CD avec le
cloud nécessite des mesures supplémentaires telles que la mise à l’échelle instantanée et
automatique, le déploiement sur divers clouds et machines virtuelles (VM), et la mise en place
de points de contrôle et de contrôleurs responsables pour chaque module de l’application.
Selon le rapport 2022 McAfee Cloud Adoption and Risk Report, les entreprises sont
confrontées en moyenne à 2 269 incidents individuels liés à une mauvaise configuration par
mois. Ils ont également constaté que 1 compartiment AWS S3 sur 20 (les compartiments de
stockage cloud d’Amazon) dispose d’autorisations de lecture activées pour que tout le monde
puisse les consommer. Ces problèmes se produisent en raison d’une configuration incorrecte
de la part de l’organisation ou simplement du respect du paramètre par défaut fourni par le
CSP.
g. Complexités du transfert de données
L’utilisation de services basés sur le cloud implique un transfert constant de données entre les
réseaux. Cela se fait généralement à l’aide de services Web. Pour sécuriser le déplacement des
données via ces services, les organisations doivent examiner le chiffrement, les contrôles
d’accès, l’autorisation et l’authentification.
Par défaut, les fournisseurs de services cloud accordent généralement des autorisations
d’accès très larges, en particulier avec les applications SaaS. Si les rôles et les privilèges des
utilisateurs ne sont pas correctement définis, l’organisation est exposée à des cyber attaques.
Par exemple, tous les employés n’ont pas besoin d’avoir le droit de supprimer des ressources
sur le cloud. Toute considération d’une architecture basée sur le cloud doit s’accompagner de
la mise en œuvre d’un plan de gestion des identités et des accès (IAM) solide.
Avoir des actifs sur un cloud public ouvre le système de l’organisation au piratage et
aux attaques d’ingénierie sociale. Si les employés ne suivent pas de formation de
sensibilisation à la sécurité, ils pourraient être la proie de tentatives d’hameçonnage. Un
exemple d’incident majeur déclenché par une tentative de phishing est l’arnaque Bitcoin
Twitter 2020.
Nous avons déjà mis en évidence les différences dans les stratégies de sécurité entre le fait
d’être entièrement sur site et le déplacement de certains composants vers le cloud.
Malheureusement, cela signifie que les outils traditionnels sur site peuvent ne pas traiter tous
les risques de sécurité. Par conséquent, les organisations doivent s’assurer qu’elles disposent
de l’expertise et des outils nécessaires pour repérer les lacunes en matière de visibilité et de
contrôle pendant la transition.
1. Le modèle de service IaaS offre des économies de temps et d’argent, car l’installation
et la maintenance des logiciels / matériels informatiques se font en interne.
2. L’IaaS offre également une meilleure flexibilité puisque les ressources matérielles à la
demande peuvent être plus facilement adaptées à vos besoins spécifiques.
3. Le modèle IaaS, avec sa complexité, son temps et ses économies de coûts, est
particulièrement précieux pour les grandes entreprises, qui disposent de grandes
équipes informatiques internes capables de créer et de gérer la plate-forme par elles-
mêmes sans avoir à compter sur un partenaire externe. L’IaaS offre la flexibilité
souhaitée pour mouler la plate-forme en fonction de leurs besoins spécifiques.
1. Le modèle PaaS est très populaire car il offre le meilleur des deux mondes. Le
fournisseur est responsable du déploiement et de l’installation du matériel et des
logiciels, tandis que le client gère l’optimisation, le réglage fin et l’installation des
mises à jour logicielles et matérielles.
2. Le PaaS offre une flexibilité ainsi qu’un gain de temps pour la gestion et le
déploiement de grands projets de développement – en gérant la mise en œuvre de la
plate-forme et la production instantanée.
f. Avantages du SaaS
1. Tout en étant plus coûteux que ses homologues IaaS et PaaS, le SaaS offre
d’immenses avantages en termes de gain de temps et de déploiement rapide. Le client
n’a pas besoin de se préoccuper de l’infrastructure et de la gestion de l’alignement du
logiciel. Il n’y a pas besoin d’installation ou de maintenance logicielle.
2. Le fournisseur fournit toutes les mises à niveau logicielles et matérielles nécessaires, y
compris la sécurité.
3. Le test et le déploiement de nouvelles applications logicielles sont rapides et faciles.
4. Le modèle SaaS est le plus populaire, et il est responsable de la croissance rapide de
l’adoption des services de cloud computing aujourd’hui.
5. Une stratégie de déploiement cloud efficace doit prendre en compte les besoins
spécifiques de l’organisation. De nombreuses organisations trouvent qu’il est facile de
déployer et d’utiliser des modèles SaaS qui ont des plans d’abonnement mensuels à
faible coût.
XVII. Conclusion :