L'adoption du modèle cloud computing par les entreprises renforce ainsi la posture sécurité de l'utilisateur final.
Choisissons de mettre un moment de côté les problématiques (et elles sont nombreuses) liées à la sécurité dans le nuage (disponibilité, responsabilité dans le traitement des informations par un tiers...) pour nous intéresser aux modifications de l'écosystème de l'utilisateur final. En effet, côté entreprise, la migration vers un service où les données sont hébergées dans le nuage entraîne tous les utilisateurs à devenir des nomades de fait. Les fonctions identifiées comme sédentaires dans l'entreprise devrons donc être mises à jour. Nombre de points de vigilance sont donc à considérer :
* Le contrôle d'accès / authentification :
Le départ des informations de l'entreprise dans le nuage, met potentiellement ces informations en visibilité de toute personne connectée à Internet. Une stratégie de gestion des identités/authentification doit être mise en place aussi bien au niveau de l'entreprise que du fournisseur côté cloud afin de parer aux tentatives d'usurpation d'identité. Le recours à l'authentification forte devient incontournable pour protéger les informations sensibles de l'entreprise.
La mise en œuvre interne d'un processus de Single Sign On (SSO) pour les applications d'entreprise peut permettre de simplifier les interfaces avec le fournisseur.
D'après le cloudsecurityalliance les entreprises utilisatrices doivent être informées que le contrôle d'accès au niveau des applications n'est pas encore mature aujourd'hui.
* Gestion des habilitations :
Une fois les informations de l'entreprise mises en ligne, le salarié venant de quitter la société pourra continuer à les manipuler depuis n'importe quel poste/connexion Internet non maîtrisé par l'entreprise. La gestion des habilitations incluant le fournisseur du nuage joue donc un rôle plus important que dans le modèle traditionnel. Or, les audits mettant en avant les failles voir même l'inexistence des processus de révocation des habilitations sont nombreux.
* Traçabilité des opérations :
Encore une fois, la donnée peut être accédée depuis un environnement non maîtrisé par l'entreprise. Il est donc important de pouvoir conserver un historique des accès aux données ainsi que des opérations effectuées sur ces données.
* Chiffrement des données :
Si l'on fait le parallèle avec le modèle traditionnel, l'administrateur système/réseaux doit-il pouvoir prendre connaissance de l'ensemble des documents présents sur une ressource réseau partagée? Les clients entreprise ont besoin de savoir que les données qu'ils stockent dans le nuage ne peuvent pas être modifiées par erreur, négligence ou malveillance. Les fournisseurs eux-mêmes peuvent vouloir être en mesure de démontrer à leurs clients que les données du nuage sont bien celles que le client leur a confié.
Qui dit chiffrement, dit système de gestion de clé adapté à l'entreprise cliente (recouvrement de clé, partage de clé entre plusieurs services de l'entreprise...). Ce système peut également avoir des effets bénéfiques pour le fournisseur afin de pouvoir assurer une séparation automatique des données clientes les unes par rapport aux autres, même dans le cas où tous les clients partagent un espace de stockage commun. De plus, ce schéma concourt à la ségrégation des tâches entre l'exploitation des données d'une part et l'utilisation des données d'autre part.
* Renforcement de la sécurité du poste de travail :
La mise en oeuvre d'un chiffrement où seul l'utilisateur final est en mesure de disposer d'une version en clair du document, conduit à la perte des fonctionnalités d'analyse de contenu (antivirales...) proposées par le réseau et/ou le fournisseur du nuage. Ces fonctionnalités doivent donc être déportées sur le poste de travail de l'utilisateur. L'entreprise utilisatrice se voit donc amenée plus que jamais à déployer des suites complètes de protection du poste de travail sur l'ensemble de son parc. Le poste de travail devenant un élément de liaison important entre Internet et le Système d'Information de l'entreprise, les fonctionnalités de reporting et de pilotage à distance jouent un rôle capital dans le choix de la solution de protection à déployer.
Article initialement publié le 19 mai 2009 par Christophe Roland
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles