Loupe

La sécurité des données et la gestion des identités dans le Cloud

Petit à petit, le cloud change la manière dont nous consommons l’informatique. Nous entendons de plus en plus parler d’hybridation, de mise à l’échelle, de disponibilité des données … Même si certains de ces aspects du monde IT existaient déjà, le cloud les démocratise.

Cependant, tout n’est pas rose dans l’univers nuageux. En effet, en changeant le mode de consommation IT, le cloud apporte son lot de nouvelles problématiques et concepts, notamment liés à la sécurité. Nous allons donc voire ensemble les principales notions de sécurité, liées à l’utilisation du cloud et les services offerts par ce dernier pour vous aider à maintenir un niveau de sécurité optimal.

Le cloud et la sécurité des données

Le terme « sécurité des données » est souvent employé de nos jours, mais savez-vous réellement ce que l’on n’entend par sécurité des données ?

Généralement, la sécurité des données regroupe 3 axes :

  • La disponibilité des données,
  • L’intégrité des données,
  • La confidentialité des données.

La sécurité des données s’applique donc globalement à vos données sur tous leurs cycles de vie.

Disponibilité des données

Prenons l’exemple des grands acteurs du cloud, tels que Microsoft, Amazon ou encore Google : de par leurs tailles, leurs moyens et leurs expertises, ces entreprises sont à même de proposer un niveau de disponibilité optimal.

Lorsque vos données sont situées sur vos serveurs en interne, il est essentiel de les sauvegarder régulièrement pour parer à toute éventualité. Le cloud n’échappe pas à cette règle. La perte de données est un risque important pour une entreprise et les sauvegardes permettent de limiter ce risque. Vous n’êtes pas à l’abri de la suppression accidentelle de données (plus probable) ou d’une défaillance de votre Cloud provider (moins probable). Où que soient vos données, il est important de les sauvegarder.

Le cloud n’est pas une solution miracle garantissant un taux de disponibilité de 100%. En utilisant le cloud pour stocker vos données, vous transférez la gestion de la disponibilité (serveurs, réseaux, systèmes, …) à des entreprises spécialisées. Vous pouvez donc vous concentrer sur votre cœur de métier.

Intégrité des données

L’intégrité des données est le fait d’assurer la précision et la consistance de la donnée, tout au long de son cycle de vie. Sa validité doit être assurée, en plus de ne pouvoir être modifiable, uniquement par des personnes autorisées. Néanmoins, la donnée n’est pas quelque chose de statique, elle est amenée à évoluer, à être transférée, … Il faut donc pouvoir assurer son intégrité constamment.

Aujourd’hui, beaucoup de données sont échangées sur les réseaux, qu’ils soient internet ou publiques. Il est donc important d’utiliser des protocoles de communication assurant l’exactitude des données envoyées :

  • L’utilisation du HTTPS lors de la consultation d’un service en ligne ou d’une API,
  • L’utilisation de connexions VPN, … Ces protocoles permettent, entre autres, de garantir que la donnée ne sera pas modifiée pendant son transit.

Mais qu’advient-il de la donnée lorsqu’elle n’est pas en transit ?

Lorsque la donnée est au repos, stockée sur un système de fichiers ou dans une base de données, il existe généralement des technologies pour assurer l’intégrité de cette dernière : systèmes de journalisation, calcul d’empreinte (hash), … Et dans le cas d’une corruption de données, il est toujours possible, notamment grâce à des sauvegardes, de restaurer une version conforme de la donnée.

L’intégrité des données n’est, ni un concept nouveau, ni une exclusivité du cloud. Les mêmes principes de sécurité s’appliquent, que les données soient stockées en interne ou sur le cloud.

Confidentialité des données

La confidentialité des données est un sujet sensible. Il n’est pas rare d’entendre parler de fuite de données sur Internet, même de la part d’entreprises mondialement connues. La confidentialité est donc un aspect primordial et essentiel, pour n’importe quelle entreprise.

Une des grandes réticences liée à l’utilisation du cloud concerne la localisation géographique des données. En effet, les grands acteurs du cloud sont majoritairement des entreprises américaines, et qui dit américaine, dit Patriot Act. Pour faire simple, cette loi permet aux agences de sécurité américaines de consulter les données informatiques détenues par les particuliers ou les entreprises (américains), sans autorisation préalable et sans en informer ces dernières.

  • Ce genre de loi présente un vrai problème pour la confidentialité des données. Malheureusement, il n’existe pas énormément de solution à ce problème : l’hébergement des données dans un pays ne possédant pas une loi du genre Patriot Act.
  • Ne pas héberger les données jugées trop sensibles dans le Cloud. L’espionnage industriel (par exemple) par des puissances étrangères n’est cependant pas une préoccupation réelle pour de nombreuses entreprises n’ayant pas une portée internationale.

Pour répondre à cette problématique, Openhost, entreprise nantaise, vous propose d’héberger vos données dans ses datacenters situés en France.

Vous souhaitez héberger vos données en France?

Un autre aspect de la confidentialité est de n’autoriser l’accès à la donnée qu’à un certain groupe de personnes prédéfinies. Pour ce faire, on utilise généralement un principe d’authentification, pour vérifier l’identité de l’utilisateur, et de listes de contrôle pour restreindre les accès à la donnée en question.

Les choses se compliquent lorsque les données sont stockées sur le cloud. En effet, le compte utilisateur utilisé en interne n’est pas disponible sur la plateforme cloud. Il faut donc un compte utilisateur en plus pour les services cloud…

Le cloud et la gestion des identités

La gestion des identités est devenue un enjeu important dans l’utilisation du cloud.

Imaginons par exemple que pour chaque service cloud il faille un compte par utilisateur. A chaque compte utilisateur est associé un mot de passe, qui devrait idéalement être différent des autres, mais ne l’est pas en réalité. Pour les administrateurs, cela signifie aussi une quantité plus importante de comptes utilisateurs à manager : réinitialisation de mot de passe, création de comptes, attribution des droits, … Cette solution n’est pas envisageable et augmente la complexité à tous les niveaux. Idéalement, à chaque utilisateur devrait être associé un unique compte qu’il utiliserait sur l’ensemble des services.

Synchronisation des identités

Afin de parvenir à ce résultat, la méthode la plus simple à mettre en œuvre reste la synchronisation des comptes utilisateurs. Il est par exemple possible d’utiliser Azure AD Connect pour synchroniser ses comptes utilisateurs internes sur Azure ou encore d’utiliser une simple réplication Active Directory au travers d’une liaison VPN vers votre Cloud privé Openhost. Avec ces solutions, les utilisateurs se servent du même compte pour se connecter aux différents services.

La synchronisation de comptes comporte néanmoins plusieurs inconvénients. Le premier est sa compatibilité. En effet, tous les services ne sont pas forcément compatibles avec la synchronisation des comptes utilisateurs. Second inconvénient, les utilisateurs doivent toujours s’identifier sur chaque service. Malgré le fait qu’il n’y est plus qu’un seul compte par utilisateur, ce dernier doit entrer le couple « nom d’utilisateur mot de passe » plusieurs fois par jour (connexion au poste, connexion au Webmail, connexion à Office 365, …). Et pour conclure, la mise en œuvre de la synchronisation de comptes utilisateurs nécessite de synchroniser également le mot de passe (sous forme de hash et de manière sécurisée). Dans le cas d’Azure AD, vos mots de passe hashés sont stockés sur les serveurs de Microsoft. Si vous avez des contraintes de sécurité vous interdisant cet usage ou simplement n’êtes pas à l’aise avec cette idée, il vous reste une autre solution : la fédération d’identités.

Fédération d’identités

La fédération d’identité consiste en l’utilisation des serveurs d’annuaire existants (ex : Active Directory interne) pour authentifier les utilisateurs sur site ou nomades sur des services internes ou externes à l’entreprise. Par exemple, lorsqu’un utilisateur se connecte sur Office 365, il sera authentifié par vos serveurs internes avant de pouvoir accéder aux services.

Authentification fédérée

Bien que la fédération d’identités ne soit pas la solution la plus simple à mettre en place, elle apporte néanmoins son lot d’avantages :

  • La fédération d’identités permet, en centralisant le processus d’authentification et d’autorisation, d’appliquer des politiques globales de sécurité à tous les services fédérés. Il est par exemple possible de forcer la double authentification sur des services fédérés qui ne le supportent pas nativement.
  • De plus, la fédération d’identités permet la mise en place du Single-Sign On ou SSO. Le SSO permet à vos utilisateurs de s’authentifier une seule et unique fois pour accéder à l’ensemble des service fédérés. Concrètement, l’utilisateur s’authentifie un première fois (généralement à l’ouverture de leur session). Lorsqu’il souhaite accéder au webmail, l’Identity Provider connait déjà cet utilisateur (il s’est déjà authentifié), il autorise alors l’utilisateur à se connecter au webmail, à condition que ce dernier respecte les politiques de sécurité en place, et ce, sans deuxième authentification.
  • Pour finir, la fédération d’identités permet une gestion centralisée du processus d’authentification et d’autorisation. Cette dernière permet aussi la mise en place d’outils à destination des utilisateurs comme la réinitialisation de mot de passe, la gestion de la double authentification, … En utilisant des protocoles standardisés (SAML, OAuth) la fédération d’identités permet de s’interfacer avec une multitude d’applications externes (Office 365, Salesforce, SharePoint, …).

Cependant, la centralisation du processus d’authentification transforme votre infrastructure d’annuaire utilisateurs (ex : Active Directory, AD FS) en un service critique. En effet, si votre service d’authentification venait à ne plus fonctionner, les utilisateurs ne pourraient plus accéder aux différents services. Il est donc nécessaire de prévoir une infrastructure hautement disponible dans ce cas de figure.

Le cloud et la protection des menaces

Aujourd’hui, chaque entreprise est confrontée à de multiples menaces : ransomware, phising, fuite de données, et bien d’autres. Pour contrer ces menaces, chaque entreprise doit donc mettre en place des systèmes de protection (antivirus, firewall, …), sécuriser les connexions réseaux, former ses utilisateurs, et déployer des procédures. Ces opérations demandent beaucoup de temps, d’investissement pour être efficace et ne profitent qu’à l’entreprise en question.

Bien que le cloud soit aussi touché par ces menaces, le périmètre d’application de la sécurité est beaucoup plus grand.

Par exemple :

  • Une mesure de sécurité déployée sur Azure bénéficie potentiellement à tous ses clients. Le rapport temps/investissement est donc meilleur.
  • De plus, les Cloud Providers peuvent se servir des données d’usage de leurs clients pour identifier plus rapidement les anomalies et les menaces, en résulte en une sécurité renforcée.
  • Ces Cloud Providers possèdent généralement des équipes d’experts en sécurité qui travaillent à améliorer continuellement la qualité et la robustesse des services proposés de manière globale, ce qui bénéficie à tous les utilisateurs de leurs plateformes.

La sécurité de la donnée est un domaine en constante évolution et le cloud a bouleversé les usages et créée de nouvelles problématiques. Cependant,  avec son lot de changements, le Cloud a également apporté de nouvelles réponses et solutions à ces problématiques. Openhost a bien compris ces nouveaux enjeux liés à la sécurité. Nos équipes vous attendent pour répondre à vos interrogations et vous accompagner dans vos projets cloud.

Une question sur la sécurisation de vos données ?

Autres actualités