Le cloud est-il sécurisé ?

La sécurité est un vaste sujet qui nécessite plus qu’un simple article. On peut cependant affirmer que les clouds professionnels sont très sécurisés. Sans doute plus que votre centre de données. En premier lieu car il s’agit du fond de commerce des fournisseurs de service. Si ces clouds n’offraient pas un niveau de sécurité très élevé, ils n’auraient pas de clients. Ensuite car ils disposent d’outils d’analyse et de prévention des attaques bien supérieurs à la moyenne. Leur exposition est telle qu’ils sont la cible d’attaques permanentes. Ils sont donc mieux préparés à toutes les éventualités.

Concepts de base de la sécurité

Afin de pouvoir apprécier la sécurité des services cloud, il me parait primordial de savoir ce dont on parle. La sécurité de l’information se définit autour de trois concepts principaux : confidentialité, intégrité et disponibilité, auquel s’ajoute parfois la non-répudiation.

Confidentialité

Dans la norme ISO/CEI 27001, la confidentialité est définie comme « le fait de s’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé ». L’identification des utilisateurs, les droits qu’on leur attribue et le chiffrage de l’information jouent un rôle majeur dans la protection de l’accès aux informations.

Intégrité

L’intégrité signifie que l’information est complète et exacte. Cela indique aussi qu’elle ne peut pas être modifiée de façon fortuite, imprévue ou malintentionnée. Généralement, la traçabilité des modifications, la sauvegarde continue des versions précédentes et les sommes de contrôles permet de garantir l’intégrité des informations.

Disponibilité

La disponibilité définit que l’accès à l’information est disponible dans les limites définit par son propriétaire. Dans le cas du cloud, nous avons vu que la disponibilité faisait l’objet d’une classification précise. A celle-ci peut s’ajouter le temps d’accès, qu’on peut définir en fonction du type d’information (une donnée archivée pouvant nécessiter un temps plus long qu’une donnée « vivante »).

Non-répudiation

Cette caractéristique est juridique et fait généralement partie de l’intégrité. Elle signifie que l’expéditeur et le destinataire d’une information sont bien ceux qu’ils prétendent être et que l’information envoyée est conforme à celle reçue et qu’elle n’a pas été altérée. Le mécanisme de certificats numériques est généralement utilisé et accepté par la justice pour prouver la non-répudiation. Encore faut-il pouvoir garantir la sécurité (intégrité, confidentialité et disponibilité) de sa clé privée. D’où la solidité logique des mécanismes comme les cartes à puce.

Menaces

Mais de quoi nous protégeons-nous ? La première réponse qui vient à l’esprit est le vol de données. Pour une organisation, cela peut signifier vol de propriété intellectuelle, vol de clientèle ou perte de réputation. Pour un individu, c’est un accès à ses comptes bancaires, l’usurpation de son identité ou la publication de d’information confidentielle dans le but de nuire.

Comme le disait Eric Schmidt, ancien PDG de Google, « Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire. » Facile à dire, surtout quand il s’agit d’informations purement confidentielles qui n’ont pas à être diffusées. Au-delà de la question du stockage de ces informations, la question est : sont-elles plus en sécurité dans le cloud que sur un serveur de l’entreprise ou sur mon ordinateur personnel. Nous allons y revenir.

L’autre menace est la destruction pure et dure de l’information. C’est le cas de certains virus qui se contente « juste » de tout détruire dans l’intention de nuire. Ce sont dans ces moments que l’on s’aperçoit que les sauvegardes qui ont été faites ne sont pas complètes ou accessibles. La fameuse loi de Murphy !

Enfin, depuis quelques années, une menace croissante est le rançongiciel ou ransomware. Cette pratique consiste soit à voler des données, soit à les chiffrer, puis à demander à leurs propriétaires une rançon pour les récupérer ou obtenir la clé de chiffrage. Ce type d’attaque est en progression d’année en année. Il à noter que d’après Kaspersky Lab, vingt pourcents des victimes qui payent ne récupèrent pas leurs fichiers. La question est donc : doit-on payer ?

Que faire pour se protéger de ces menaces ? Les experts de la sécurité informatique et les éditeurs de solution de sécurité recommandent plusieurs actions :

  • Se protéger. Cela semble du bon sens, mais plus simple à dire qu’à faire. En effet, la surface d’attaque augmente (je vais y revenir), les menaces évoluent sans cesse et l’information des utilisateurs ne suit généralement pas, mettant tout le système en danger.
  • Évaluer les risques et les coûts. La sécurité a un coût et des conséquences. Il n’est pas possible de se protéger de tout à moins de vivre en vase totalement clos. Il convient alors d’évaluer les risques de perte ou de vol de données et de prendre les mesures adéquates.
  • Classifier les informations. Classifier ses données permet de savoir ce qui est public, ce qui ne l’est pas, ce qui est hautement confidentielle et ce qui l’est moins. Cela permet alors de mettre en place des règles de sécurité en fonction des données traitées.
  • Mettre en place des bonnes pratiques. L’humain est souvent le maillon faible. C’est de plus en plus le vol d’identité qui sert de point d’entrée pour le vol d’information. Il convient alors de structurer une politique de protection de l’identité au travers de mots de passe forts ou d’authentification multi-facteurs pour limiter au maximum ces risques.

Et le centre de données dans tout ça ?

Maintenant que nous avons défini les concepts de base et avons une idée des menaces qui ciblent nos informations, regardons ce qu’il en est de la sécurité du centre de données. Si nous souhaitons protéger nos informations et en garantir une sécurité maximale, il faut tout d’abord nous intéresser à la surface d’attaque de notre système.

Surface d’attaque

L’ensemble des points d’entrée et des points de communication avec l’extérieur définit la surface d’attaque d’un système informatique. Sur tout système accessible, elle est généralement importante et doit être précisément connue. On distingue généralement quatre types de surface d’attaque :

  1. La surface d’attaque réseau : ports ouverts sur les routeurs et les pare-feu, adresses IP publiques, protocoles réseau utilisés et disponible…
  2. La surface d’attaque logicielle : formulaire de saisie, système d’exploitation, services démarrés du serveur, interfaces d’administration…
  3. La surface d’attaque humaine : la réaction de l’utilisateur à toutes les sollicitations auxquelles il peut répondre, comme cliquer sur un lien, ouvrir une pièce jointe ou cliquer sur un bouton. Le phishing ou l’engineering social nécessite ces actions par exemple.
  4. La surface d’attaque physique : il ne faut pas oublier qu’un centre de données est avant tout un lieu physique et que le vol physique de données n’est pas à négliger. C’est l’accès physique au système, ainsi que l’emploi de matériel comme les clés USB ou les DVD. Il est d’ailleurs à noter que d’après la société McAfee plus de 40% du vol de données se fait encore par des moyens physiques.

Il est admis que plus la surface d’attaque est grande, plus le risque l’est. Une des activités du département sécurité est donc de réduire cette surface à son strict minimum. Il est primordial de dresser une cartographie précise de cette surface d’attaque afin de pouvoir en protéger tous les points d’entrée.

Un article du site Information Security nous éclaire sur la surface d’attaque et les moyens de la réduire. Un point qui me semble primordial concerne ce qui est derrière un point d’entrée. En effet, un port ouvert, par exemple, a certainement une utilité. Cependant, derrière ce port peut se trouver des services et des applications. Par exemple, un serveur web et des applications comme WordPress ou SharePoint. Chacune des pages de ces applications peut être un point d’entrée pour une injection de code par exemple. Une compréhension détaillée de chacun de ces points d’entrée et de leurs vulnérabilités potentielles est donc crucial.

La notion de « defense in depth » prend alors tout son sens. En effet, à quoi bon protéger le périmètre physique et logique du centre de données, si les applications qui y sont exécutées ne sont pas elle-même protégées ? Il n’est pas dans mon objectif de traiter en détail de la sécurité des systèmes d’information et des logiciels, mais de bien vous faire réaliser que la sécurité n’est ni un vain mot, ni une notion simple. Elle nécessite une véritable compétence qui doit être prise en compte par un département spécialisé et audité par une entité externe pour en apprécier la valeur.

Failles de sécurité logicielles

Toute œuvre humaine comporte plus ou moins de failles et d’erreur. Aucun logiciel n’en est exempt. Une recherche simple sur internet concernant les failles de sécurité logicielles remonte des milliers de liens. Rechercher « mise à jour de sécurité » sur les sites de Microsoft, Oracle ou Red Hat renvoie plusieurs centaines d’articles. Aucun éditeur n’est à l’abri, pas plus que l’Open Source, malgré des propos souvent contradictoires des chantres du libre. Mon propos n’est surtout pas d’opposer libre et propriétaire, mais d’attirer l’attention sur les bonnes pratiques en matière de gestion des failles de sécurité logicielles.

Si on se rappelle Heartbleed en 2014 avait fait la une des journaux. En effet cette faille du protocole OpenSSL impactait des millions de serveurs web, y compris ceux des fournisseurs de services comme Facebook, Google ou Dropbox. Tout utilisateur identifié sur un serveur compromis était à risque sans le savoir, car l’exploitation de Heartbleed était indétectable. Une fois les serveurs corrigés, il convenait alors de procéder au changement des mots de passe de chacun des utilisateurs pour éviter l’usurpation d’identité.

Alors, sécurisé le cloud ?

Il est certain que Wikileaks, le piratage russe de la campagne présidentielle américaine et l’affaire Cambridge Analytica n’aident pas à donner l’impression que le cloud est sécurisé. Maintenant, les médias ne s’intéressent bien évidemment pas aux millions de transactions qui se passent en toute sécurité tous les jours, mais uniquement à celle qui va faire le scandale. D’où vient cette impression que le cloud n’est pas sécurisé et que, de facto, mes données sont plus en sécurité quand elles sont stockées localement ?

Commençons par quelques statistiques pour étayer l’impression. D’après une étude de Juin 2016 d’IBM et du Ponemon Institute :

  • Le coût moyen d’un vol de données est de quatre millions de dollars.
  • Ce coût est en augmentation de 29% par rapport à 2013.
  • 48% des vols de données sont l’œuvre de pirate – 37% en Afrique du Sud – le reste est dû soit à des erreurs humaines ou à des erreurs système.

On en rajoute quelques-unes :

  • D’après NetIQ, 70% des entreprises interrogées ont été victimes d’une cyber-attaque en 2014.
  • D’après Verizon, près de 80% des attaques réussies implique un serveur ou un ordinateur personnel.
  • Toujours d’après Verizon, le temps d’intrusion dans le réseau n’est que de quelques minutes et le vol effectif de données de quelques jours.

Vous en trouverez des tonnes et des tonnes d’autres sur internet en cherchant à peine. Donc résultat ? On s’enferme chez soi, on tire les rideaux, on se déconnecte et on attend la fin du monde… Bien évidemment impossible et absolument pas souhaitable. Pour finir cependant, une dernière statistique, la mienne : 100% des clients qui étaient certains d’être totalement en sécurité, présentaient une ou plusieurs failles exploitables. Personne, je le dis bien et je le répète, personne n’est plus à l’abri d’une faille de sécurité.

Revenons à la base de toute interconnexion des systèmes ouverts, le modèle OSI.

Modèles OSI et TCP-IP

Le modèle OSI, dit d’Interconnexion des Systèmes Ouverts (Open Systems Interconnection), décrit les fonctionnalités nécessaires à la communication entre ordinateurs. Supplanté dans les années 80 par le modèle TCP/IP, la base d’internet, il sert toujours de référence aux discussions de communication entre ordinateurs. On pourrait d’ailleurs extrapoler le mot ordinateur à tout objet connecté.

Pourquoi revenir à ces éléments de base ? Pour ramener sur le devant de la scène la notion de défense en profondeur, consistant à sécuriser tous les composants d’un système. Arrêtons-nous en effet quelques instants sur quelques questions de bon sens :

  • A quoi bon installer un pare-feu qui filtre l’accès au réseau si les mots de passe ne font l’objet d’aucune stratégie ?
  • A quoi bon sécuriser l’accès physique au centre de données si ces fameuses données sont stockées en clair, sans chiffrage, sur les disques durs ?
  • A quoi bon implémenter l’authentification à deux facteurs si le serveur web n’est pas patché et permet l’injection de code SQL dans la base de données ?
  • A quoi bon ajouter anti-virus et anti-malware si les matériels mobiles qui accèdent aux applications depuis internet ne font pas l’objet de stratégie de sécurité les forçant à utiliser les derniers correctifs de sécurité ?

Je pourrais continuer, mais je pense que vous comprenez l’objet de la défense en profondeur. Je la résume généralement de la façon suivante : à quoi bon installer une porte blindée, ajouter une alarme et mettre vos effets précieux dans un coffre-fort, si vous laissez une fenêtre ouverte en partant en vacances ? Son lien le plus faible définit la sécurité d’un réseau et d’un centre de données, comme la solidité d’une chaine en acier l’est par son maillon le plus faible !

Maintenant que nous avons posées ces quelques questions de bon sens et remis sur la table les modèles OSI et TCP/IP, pouvez-vous faire une évaluation honnête de votre centre de données à chaque couche du modèle et la comparer à celle du centre de données de votre potentiel fournisseur de services cloud ?

Il y a fort à parier que vous n’arriverez pas à égaler le niveau de sécurité du fournisseur de service. A commencer par l’obtention des certifications obtenues par le fournisseur. Je vous propose les sept éléments suivants afin de faire une comparaison objective :

  • Accès physique au centre de données : contrôle d’accès, surveillance, alarme…
  • Protection physique des données : résistance aux catastrophes (eau, feu…), redondance des données, procédure de réponse en cas de vol…
  • Accès logique au réseau : stratégie de mot de passe, contrôle d’accès, droits d’accès, filtrage (utilisateur, applicatif, matériel), journalisation…
  • Surveillance, protection et détection : systèmes de détection d’intrusion, de prévention d’intrusion et de réponse en cas d’intrusion, pare-feu à surveillance de paquet, anti-virus, anti-malware à jour…
  • Audit et certification indépendants : audit annuel de sécurité par un tiers de confiance, tentative d’intrusion (white hacking) …
  • Procédures de continuité d’activité : site de reprise à chaud ou à froid, plan de reprise ou de continuité d’activité, procédures de mise à jour des logiciels…
  • Chiffrage de bout en bout de chaine : chiffrage des communications et des données stockées, mise en place de certificats numériques…

Vous pouvez faire un tableau à deux colonnes pour chacun des items précédents en listant ce que vous avez en local et ce que le fournisseur vous propose en standard ou en option. Ces listes sont généralement riches d’enseignement et vous aideront à décider en tout âme et conscience lequel de votre centre de données ou de celui de votre prestataire est le plus sécurisé. Le mieux est souvent l’ennemi du bien, comme aimait à répéter ma professeure de physique, mais personne n’est plus à l’abri du piratage d’information Quelle qui soit l’industrie dans laquelle vous travaillez, vos clients n’aimeront jamais que soit exposer au public les informations que vous avez sur eux et vous n’aimerez jamais que soit exposer au public les informations de votre entreprise, quelles qu’elles soient.

Alors sécurisé le cloud ? Le mot de la fin revient au PDG d’une banque à sa sortie de la visite du data center de Microsoft de Quincy, un des plus grands du monde : « je comprends maintenant pourquoi les données de la banque sont plus en sécurité ici que ne l’est l’or dans nos coffres ».

Photo par MILKOVÍ sur Unsplash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :