Cloup Computing

uvoir accéder aux données. L'ensemble des techniques, systèmes et moyens de contrôle d'accès sont regroupés sous l'acronyme IAM (Identity and Access Management). Comme il s'agit d'un sujet très large je vous propose de le mettre de coté pour le moment. Phase de transit des données : C'est maitrisé ! Les phases liées à l'envoi des données depuis les systèmes internes d'une entreprise vers le Cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l'entreprise et

ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le Cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser. Phase de stockage des données : Ca se gâte Une fois les données arrivées dans le Cloud, celles-ci y sont stockées. En l'absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur du service. Certains d'entre-eux vont proposer des systèmes dont le fonctionnement n'est peut-être pas toujours très clair. Dans le cas ou les données sont déposées dans le Cloud afin d'assurer leur disponibilité (cas par exemple d'un service de type Baas - Backup as a Service), le mieux est de chiffrer les données avant de les envoyer : Cette tâche incombera au client du Cloud réalisera ce traitement lui-même (ou via des outils mis à sa disposition par son fournisseur). Evidemment, dans le cas d'un service de type SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le client final ayant un rôle quasi inexistant (et donc une maitrise) dans cette étape de chiffrement. Ici le contrôle d'accès (IAM) aura un rôle encore plus important que dans le cas d'un service de type BaaS ou le chiffrement peut être effectué à la source. Même si la situation n'est pas toute rose, il y a donc quelques solutions de disponibles pour les données "at rest" ou "stockées". La situation se complique encore plus pour les données présentes dans le Cloud et devant être utilisées dans ce même Cloud. Données utilisées dans le Cloud : Absence de standards. Pour ce qui concerne les données présentes dans le Cloud et qui doivent être utilisées depuis le Cloud, il n'existe actuellement pas de solution. Afin d'illustrer mon propos, prenons l'exemple d'une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d'exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Un attaquant pourrait donc, s'il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM. Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d'accès mises en place pour accéder aux données : Cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le Cloud (webmail, application de CRM, gestion documentaire, etc...) Et la destruction des données ? Le chiffrement est un allié Une fois que des données ont été récupérées depuis un Cloud, il est important de s'assurer qu'elles en disparaissent bien. Outre le fait qu'il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C'est ici que le chiffrement peut nous donner un coup de main. En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : Donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C'est ce concept qui permet de s'assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de Cloud vient de mettre la clef sous la porte sans prévenir. Un fournisseur de confiance est essentiel A part la phase de transfert des données depuis ou vers le Cloud, les moyens pour sécuriser ses données lorsqu'elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu'ils soient intégrés par les