CNIS event : hacking the cloud - 28 novembre 2012

J’ai eu la chance d’assister à la dernière conférence organisée par notre confrère CNIS-Mag de ce 28 novembre 2012.

Celle-ci portait comme titre "Hacking the Cloud : connaître les vulnérabilités et risques pour mieux se protéger. Conseils & Solutions". Elle se déroulait sur Paris du côté des Champs-Elysées. 

Une fois n’étant pas coutume, je vous propose une petite synthèse.

CLUSIF - analyse de risque et capitalisation sur l'existant

Du côté du CLUSIF, le constat est que les entreprises et collectivités locales sont toutes dépendantes de leur système d’information (respectivement 81% et 68%).

Une minorité d’entre-elles utilisent des services en mode Cloud (respectivement 14% et 19% ont fait le pas) avec une grande proportion pour des services de Cloud en mode privé (66% et 68%), le reste se distribuant de façon à peu près égale entre des services Cloud en mode public et hybride.

La recommandation du CLUSIF est d’aller dans le Cloud de façon réfléchie sur la base d’une analyse de risque préalable et qu’il est important de considérer tant la dimension juridique et contractuelle mais aussi les dimensions opérationnelles. Il a été justement noté que les Cloud Service Providers doivent gérer des risques de même nature que ceux auxquels sont confrontés les départements IT des grandes entreprises et collectivités locales.

Il n’est donc pas nécessaire de réinventer la roue. Au contraire il convient de capitaliser sur l’existant en termes de méthodologies d’évaluation des risques.

Dans la foulée du CLUSIF, nous avons eu des interventions de SOLUCOM et de HSC.

SOLUCOM - priorité à la sécurisation des services SaaS

La présentation de SOLUCOM a porté sur la sécurité des services de type SaaS et n’a évoqué que rapidement les services de type IaaS.

J’ai compris que la raison de ce choix délibéré résidait dans le fait que les services SaaS sont en plein boom d’un point de vue des usages et que les risques sont donc particulièrement présents de ce côté.

Je rejoins leur analyse mais reste convaincu que les services de type IaaS sont aussi à inclure dans une approche globale (ce que je pense qu’ils couvrent aussi par ailleurs).

HSC - la "maitrisabilité" pour nommer les risques du cloud

Du côté de HSC, leur approche a été particulièrement intéressante. En effet, ils proposent d’ajouter la notion de « maitrisabilité » au classique « Confidentialité, Intégrité et Disponibilité ».

Par « maitrisabilité » il faut comprendre la capacité à conserver la maîtrise de ses données :

  • puis-je agir librement sur mes données ?
  • ais-je une connaissance précise où sont localisées mes données ?
  • puis-je accéder librement à mes données ?
  • suis-je pleinement propriétaire de mes données ?
  • suis-je libre de changer de prestataire quand je le souhaite ?

L’approche de HSC est très pertinente car elle vient « mettre un nom sur la bête » des nouvelles problématiques que le Cloud Computing vient exacerber.

P1 Security - business autour des attaques DDoS

Dès le début de la présentation de P1 Security le ton a été donné. Avec le Cloud computing, l’importance de la connectivité est prépondérant (« no network, no Cloud ») et donc le risque que représentent les attaques en DDoS ne doit pas être sous-estimé.

P1 Security a mis en place un service permettant d‘utiliser le Cloud pour tester la résistance des infrastructures aux attaques en DDoS. Cette démarche « testons si c’est robuste » me semble tout à fait pertinente et assez peu souvent réalisée. Outre leur service de test, la tendance est aussi aux attaques visant les couches applicatives avec la montée en puissance d’attaques comme « Slowloris ».

Ensuite, nous avons eu droit à deux échanges en mode « table rondes » sur les enjeux autour du BYOD et des risques liés au Cloud : je ne les détaillerai pas.

un bon cru

Globalement, une conférence intéressante avec des intervenants de qualité et une organisation impeccable. C’est aussi une opportunité de croiser vos pairs dans le domaine de la sécurité et lier connaissance avec de nouvelles personnes. Un bilan très positif.

Jeff

crédit photo : © ThorstenSchmitt - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens