Quels sont les risques de sécurité majeurs du cloud computing ?
Une étude du CSA en révèle douze

Le , par Siguillaume, Community Manager
Quels sont les risques de sécurité du cloud computing ?
Les avantages du cloud computing sont aujourd’hui une évidence. Les plus notables sont : la réduction des coûts de maintenance de son infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc.

Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable challenge.

Pour rappel, le cloud computing est une approche informatique qui consiste à exploiter via Internet (ou tout autre réseau WAN) des ressources système et applicatives (serveurs, stockage, outils de collaboration et d'administration, etc.). Ces ressources distantes sont dites en cloud (dans le nuage).

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.


Ce sont notamment :

  1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
  2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
  3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
  4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
  5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
  6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
  7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
  8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
  9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
  10. Utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
  11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
  12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.


Ces douze points, tels que cités, pourraient davantage conforter les paranoïaques dans leur méfiance vis-à-vis du cloud, mais devront surtout encourager les utilisateurs (particuliers et entreprises) à être plus exigeants sur les niveaux de service (en anglais, SLA : Service Level Agreement) conclus avec les fournisseurs.

Source :

Rapport du CSA

Rapport de l'ISACA

Qu’en pensez-vous ?

Selon vous, quelles sont les menaces les plus couramment exploitées par les pirates, et celles qui fragilisent la sécurité en cloud ?

Avez-vous été victime d’une de ces menaces de sécurité ? Partagez votre expérience.

Sondage sur l'adoption du cloud computing


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de i5evangelist i5evangelist - Membre du Club https://www.developpez.com
le 22/03/2016 à 8:47
Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 22/03/2016 à 10:48
La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA c'est le buffet de données à volonté pour eux
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 22/03/2016 à 11:05
Pour moi le cloud ne signifie pas mettre tous les oeufs dans le même panier, c'est comme le NoSQL, cela s'adresse à un besoin spécifique et donc à un périmètre d'applications/utilisateurs spécifique, en aucun cas tout le SI d'une entreprise doit être dans un cloud, c'est évident, et le maintient de DMZ et de cloisonnement entre les différents périmètres est le seul moyen pr limiter l'impact des attaques.
Avatar de Thorna Thorna - Membre éprouvé https://www.developpez.com
le 22/03/2016 à 11:30
Citation Envoyé par TiranusKBX Voir le message
La plus grosse faille est le lieux de stockage des données, si le datacenter principal ou celui de la sauvegarde est aux USA n'importe où c'est le buffet de données à volonté pour eux n'importe quel pays hébergeant (et autres services)
Ne soyons pas raciste...
Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 22/03/2016 à 15:32
Citation Envoyé par i5evangelist  Voir le message
Confier son portefeuille client, ses tarifs, sa compta pourquoi pas à un tiers, fusse-t-il de confiance, non merci, c'est du pur délire. (à mon avis, mais ça n'engage que moi)

Je ne peux qu'approuver ce propos mais cela nécessite une réflexion sur le délire ?

Quelle est la signification sociologique d'un délire ? De ne pas être dans la crédulité de la pensée dominante (unique et imposée). Ce que nous appellerons l'ortho-doxa. Par exemple, et ce fut l'objet de ce très intéressant film "Enfant 44" (http://www.allocine.fr/film/fichefil...lm=211997.html) un crime commun ne peut exister dans la société idéale soviétique. Celui qui ose penser cela est un déviant et un paranoïaque, c'est donc un traitre contre révolutionnaire.

Transposé dans le monde dit "libre", on a exactement le même schéma. Dissimuler ses données au nom d'une soit disante "vie privée" est la preuve qu'on est un complice de la subversion internationale. Les petits moutons de l'Est comme de l'Ouest ne "doivent avoir rien à cacher". Papa flic et Maman Education sont là pour. Comment oserait-on douter du bien que nous veulent Microsoft, Google, Monsanto et les élucubrants du GIEC ? D'ailleurs il y a un nom pour ces déviants : on les appelle "négationnistes".

Petit retour nostalgique, obscurci par des nuages :

[/
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 22/03/2016 à 15:43
@Chauve souris
mettre Monsanto qui empoisonne tout le monde et Microsoft dans le même sac est un peut osé même si le chiffre d'affaire est du même niveau
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 22/03/2016 à 22:14
Lu sur un autre site.

Deja je lis en preambule de la gigantesque periode de transition que nous vivons que les DSI pour differentes raisons ( competences - budget - ressources humaines ) se contentent d un audit ...
Autant faire dans un violon.

Selon plusieurs experts en audit, les risques et pertes sont en constante augmentation et 8 fois sur 10, l'entreprise piratée ne le sait pas.
Mais beaucoup de DSI ont du mal à obtenir des nouveaux budgets pour prévenir cette montée des risques. Certains, à court d'arguments face à leur direction, en viennent à souhaiter des incidents sérieux afin que le top-management prenne conscience de la nécessité d'investir un peu plus dans la sécurité,
un DSI d’une société du CAC 40 qui estimait à près de 100 le nombre total d’applications SaaS « pirates » dans sa société, a appris d’un audit qu’il y en existait, en réalité, 2500...
Lorsqu aucune action n est entreprise suite a de tels resultats cela devient criminel.

Et à partir d'un certain périmètre à protéger. Une équipe sécurité du SI peut être constituée en 'centre opérationnel de sécurité' (ou SOC, Security Operation Center).
Avatar de sjouve sjouve - Nouveau Candidat au Club https://www.developpez.com
le 26/04/2016 à 14:19
Cet article fait une bonne synthèse des risques du Cloud public et de conclure qu'il pas plus risqué qu'un Cloud privé : Faut-il avoir confiance en la sécurité du Cloud ?
Contacter le responsable de la rubrique Cloud Computing