Petit à petit, le cloud change la manière dont nous consommons l’informatique. Nous entendons de plus en plus parler d’hybridation, de mise à l’échelle, de disponibilité des données … Même si certains de ces aspects du monde IT existaient déjà, le cloud les démocratise.
Cependant, tout n’est pas rose dans l’univers nuageux. En effet, en changeant le mode de consommation IT, le cloud apporte son lot de nouvelles problématiques et concepts, notamment liés à la sécurité. Nous allons donc voire ensemble les principales notions de sécurité, liées à l’utilisation du cloud et les services offerts par ce dernier pour vous aider à maintenir un niveau de sécurité optimal.
Le terme « sécurité des données » est souvent employé de nos jours, mais savez-vous réellement ce que l’on n’entend par sécurité des données ?
Généralement, la sécurité des données regroupe 3 axes :
La sécurité des données s’applique donc globalement à vos données sur tous leurs cycles de vie.
Prenons l’exemple des grands acteurs du cloud, tels que Microsoft, Amazon ou encore Google : de par leurs tailles, leurs moyens et leurs expertises, ces entreprises sont à même de proposer un niveau de disponibilité optimal.
Lorsque vos données sont situées sur vos serveurs en interne, il est essentiel de les sauvegarder régulièrement pour parer à toute éventualité. Le cloud n’échappe pas à cette règle. La perte de données est un risque important pour une entreprise et les sauvegardes permettent de limiter ce risque. Vous n’êtes pas à l’abri de la suppression accidentelle de données (plus probable) ou d’une défaillance de votre Cloud provider (moins probable). Où que soient vos données, il est important de les sauvegarder.
Le cloud n’est pas une solution miracle garantissant un taux de disponibilité de 100%. En utilisant le cloud pour stocker vos données, vous transférez la gestion de la disponibilité (serveurs, réseaux, systèmes, …) à des entreprises spécialisées. Vous pouvez donc vous concentrer sur votre cœur de métier.
L’intégrité des données est le fait d’assurer la précision et la consistance de la donnée, tout au long de son cycle de vie. Sa validité doit être assurée, en plus de ne pouvoir être modifiable, uniquement par des personnes autorisées. Néanmoins, la donnée n’est pas quelque chose de statique, elle est amenée à évoluer, à être transférée, … Il faut donc pouvoir assurer son intégrité constamment.
Aujourd’hui, beaucoup de données sont échangées sur les réseaux, qu’ils soient internet ou publiques. Il est donc important d’utiliser des protocoles de communication assurant l’exactitude des données envoyées :
Mais qu’advient-il de la donnée lorsqu’elle n’est pas en transit ?
Lorsque la donnée est au repos, stockée sur un système de fichiers ou dans une base de données, il existe généralement des technologies pour assurer l’intégrité de cette dernière : systèmes de journalisation, calcul d’empreinte (hash), … Et dans le cas d’une corruption de données, il est toujours possible, notamment grâce à des sauvegardes, de restaurer une version conforme de la donnée.
L’intégrité des données n’est, ni un concept nouveau, ni une exclusivité du cloud. Les mêmes principes de sécurité s’appliquent, que les données soient stockées en interne ou sur le cloud.
La confidentialité des données est un sujet sensible. Il n’est pas rare d’entendre parler de fuite de données sur Internet, même de la part d’entreprises mondialement connues. La confidentialité est donc un aspect primordial et essentiel, pour n’importe quelle entreprise.
Une des grandes réticences liée à l’utilisation du cloud concerne la localisation géographique des données. En effet, les grands acteurs du cloud sont majoritairement des entreprises américaines, et qui dit américaine, dit Patriot Act. Pour faire simple, cette loi permet aux agences de sécurité américaines de consulter les données informatiques détenues par les particuliers ou les entreprises (américains), sans autorisation préalable et sans en informer ces dernières.
Pour répondre à cette problématique, Openhost, entreprise nantaise, vous propose d’héberger vos données dans ses datacenters situés en France.
Un autre aspect de la confidentialité est de n’autoriser l’accès à la donnée qu’à un certain groupe de personnes prédéfinies. Pour ce faire, on utilise généralement un principe d’authentification, pour vérifier l’identité de l’utilisateur, et de listes de contrôle pour restreindre les accès à la donnée en question.
Les choses se compliquent lorsque les données sont stockées sur le cloud. En effet, le compte utilisateur utilisé en interne n’est pas disponible sur la plateforme cloud. Il faut donc un compte utilisateur en plus pour les services cloud…
La gestion des identités est devenue un enjeu important dans l’utilisation du cloud.
Imaginons par exemple que pour chaque service cloud il faille un compte par utilisateur. A chaque compte utilisateur est associé un mot de passe, qui devrait idéalement être différent des autres, mais ne l’est pas en réalité. Pour les administrateurs, cela signifie aussi une quantité plus importante de comptes utilisateurs à manager : réinitialisation de mot de passe, création de comptes, attribution des droits, … Cette solution n’est pas envisageable et augmente la complexité à tous les niveaux. Idéalement, à chaque utilisateur devrait être associé un unique compte qu’il utiliserait sur l’ensemble des services.
Afin de parvenir à ce résultat, la méthode la plus simple à mettre en œuvre reste la synchronisation des comptes utilisateurs. Il est par exemple possible d’utiliser Azure AD Connect pour synchroniser ses comptes utilisateurs internes sur Azure ou encore d’utiliser une simple réplication Active Directory au travers d’une liaison VPN vers votre Cloud privé Openhost. Avec ces solutions, les utilisateurs se servent du même compte pour se connecter aux différents services.
La synchronisation de comptes comporte néanmoins plusieurs inconvénients. Le premier est sa compatibilité. En effet, tous les services ne sont pas forcément compatibles avec la synchronisation des comptes utilisateurs. Second inconvénient, les utilisateurs doivent toujours s’identifier sur chaque service. Malgré le fait qu’il n’y est plus qu’un seul compte par utilisateur, ce dernier doit entrer le couple « nom d’utilisateur mot de passe » plusieurs fois par jour (connexion au poste, connexion au Webmail, connexion à Office 365, …). Et pour conclure, la mise en œuvre de la synchronisation de comptes utilisateurs nécessite de synchroniser également le mot de passe (sous forme de hash et de manière sécurisée). Dans le cas d’Azure AD, vos mots de passe hashés sont stockés sur les serveurs de Microsoft. Si vous avez des contraintes de sécurité vous interdisant cet usage ou simplement n’êtes pas à l’aise avec cette idée, il vous reste une autre solution : la fédération d’identités.
La fédération d’identité consiste en l’utilisation des serveurs d’annuaire existants (ex : Active Directory interne) pour authentifier les utilisateurs sur site ou nomades sur des services internes ou externes à l’entreprise. Par exemple, lorsqu’un utilisateur se connecte sur Office 365, il sera authentifié par vos serveurs internes avant de pouvoir accéder aux services.
Bien que la fédération d’identités ne soit pas la solution la plus simple à mettre en place, elle apporte néanmoins son lot d’avantages :
Cependant, la centralisation du processus d’authentification transforme votre infrastructure d’annuaire utilisateurs (ex : Active Directory, AD FS) en un service critique. En effet, si votre service d’authentification venait à ne plus fonctionner, les utilisateurs ne pourraient plus accéder aux différents services. Il est donc nécessaire de prévoir une infrastructure hautement disponible dans ce cas de figure.
Aujourd’hui, chaque entreprise est confrontée à de multiples menaces : ransomware, phising, fuite de données, et bien d’autres. Pour contrer ces menaces, chaque entreprise doit donc mettre en place des systèmes de protection (antivirus, firewall, …), sécuriser les connexions réseaux, former ses utilisateurs, et déployer des procédures. Ces opérations demandent beaucoup de temps, d’investissement pour être efficace et ne profitent qu’à l’entreprise en question.
Bien que le cloud soit aussi touché par ces menaces, le périmètre d’application de la sécurité est beaucoup plus grand.
Par exemple :
La sécurité de la donnée est un domaine en constante évolution et le cloud a bouleversé les usages et créée de nouvelles problématiques. Cependant, avec son lot de changements, le Cloud a également apporté de nouvelles réponses et solutions à ces problématiques. Openhost a bien compris ces nouveaux enjeux liés à la sécurité. Nos équipes vous attendent pour répondre à vos interrogations et vous accompagner dans vos projets cloud.
Le Journal du Net a réalisé une étude comparative de 3 offres de messagerie Exchange Online hébergées en France. Le journal a donc retenu 3 entreprises qui proposent ce type de service : OVH, Global SP et Openhost. La tendance d’externalisation de la messagerie sur le cloud se confirme dans les entreprises, mais à une condition, […]
Lire la suiteSuivi par des milliers de gens autour du monde entier, la grande conférence Microsoft Ignite 2017 a encore été riche en nouvelles annonces sur les produits MS. L’équipe Openhost a particulièrement prêté attention aux annonces autour de l’univers Microsoft Office. C’est donc avec grand plaisir que nous vous dévoilons les éléments clés du Microsoft Ignite 2017 ! Microsoft […]
Lire la suiteLe Microsoft Ignite 2020 est un des événements majeurs dans l’écosystème IT. Cette année encore, Microsoft a dévoilé un grand nombre de nouveautés concernant l’ensemble de ses solutions Cloud. La montée en puissance des services Cloud Microsoft continue avec de nombreuses annonces concernant Microsoft 365 et Azure. Avec autant d’annonces en si peu de temps […]
Lire la suite