Par Jean-Marc Gremy
Administrateur, Trésorier Adjoint et Responsable Adjoint des conférences Clusif
Speaker in security awareness training at Centre de Formation de l’ANSSI
Owner & founder at Cabestan Consultants
Avec un service de Cloud Computing je n’ai plus besoin de me préoccuper de ma sécurité, notamment de la disponibilité des services
La question de la disponibilité est un point essentiel du Cloud. Observons-la sur deux axes :
Le premier celui de l’ubiquité des données. En effet, l’idée sous-tendue par les différentes offres de Cloud (rappel sur la définition du NIST) est que les machines virtuelles dans le cas du IaaS, les systèmes d’exploitation et applications de base dans le cas des PaaS ou des applications et leurs données dans le cas des SaaS sont en permanence disponibles, et ce, où que vous vous trouviez sur le globe.
Mais dans la réalité est-ce vrai ? Comment être sûr du respect de ce postulat ?
Si nous tenons compte des contraintes légales (lois et réglementations) dans certain cas de figures, les données doivent être stockées dans des localisations bien précises : en France, en Europe, les sites doivent être auditables. Dans ce contexte, la logique de Cloud et la disponibilité qu’il offre sont à revoir, si l’on imaginait que la disponibilité était implicitement garantie.
Le second point trop souvent ignoré est la résilience du réseau, donc cela nous ramène à la part que joueront demain les opérateurs. Mais deux écoles existent :
§ L’opérateur disposant de son propre réseau est en mesure d’en assurer la continuité. Au détail prés que la quasi totalité des opérateurs utilise les services d’autres opérateurs pour améliorer la capillarité de leur réseau, les performances, la disponibilité. Dans ce cas une défaillance de l’opérateur du contrat serait potentiellement un problème
§ La connexion aux services du Cloud se fait par Internet. Et dans ce cas on considère le réseau techniquement suffisamment résilient pour prendre en compte la majeure partie des problèmes à assurer tout le temps et en tout point
D’ailleurs, cette question de la disponibilité de l’information n’est pas très éloignée de celle de l’Intégrité de l’information. Un défaut d’intégrité d’une information peut avoir comme conséquence directe la perte de la disponibilité. Attention à ce point, lorsque par exemple, l’entreprise déploie des outils de cryptographie sans maîtrise de l’outil, de recouvrement voire de séquestre des clés de chiffrement… L’information est semble t’il disponible mais inaccessible par la transformation opérée par le chiffrement.