Les risques des médias sociaux pour les organisations
Enjeux de sécurité relatifs au cloud v1
1. Enjeux de sécurité
relatifs au cloud
v.1
Novembre 2012
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
2. Contenu de la conférence
Marché, définitions et concepts
Évolution et implantation
Infonuagique et sécurité
Risques et Facteurs de risque
Mesures de contrôle
La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et
présentation ne doivent pas être interprétés comme étant une recommandation
ou une promotion.
Enjeux de sécurité relatifs au Cloud 2
3. Le Cloud est-il incontournable ?
• Le cloud computing / informatique en nuage /
infonuagique / informatique nuagière est un
concept qui a dépassé le stade du «buzz
word» pour devenir une réalité tangible et
incontournable .
• Les TI seront profondément transformées
dans les années à venir … à vrai dire, c’est déjà
commencé !
Enjeux de sécurité relatifs au Cloud 3
4. Le marché
http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html
clement.gagnon@tactika.com
http://www.wordle.net/
Construit avec
http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html
Enjeux de sécurité relatifs au Cloud 4
5. Qu’est-ce que le Cloud Computing ?
Le Cloud Computing est un modèle de prestation de services TI
dématérialisée qui repose sur les technologies Internet et la
virtualisation.
Libre-service et sur demande
Élastique, extensible (scalable)
Accessible par un réseau de type TCP/IP (i*net)
Partagé, multilocataire (multi-tenant)
Utilisation mesurée ( éventuellement facturée )
Niveau de service déterminé (entente de service / SLA )
Analogie entre les TI et l’électrification
Les services TI deviennent une commodité
Enjeux de sécurité relatifs au Cloud 5
6. Les bénéfices du Cloud
Coût
►CTP (coût total de possession / TCO) réputé moindre que
le modèle traditionnel
Retour sur l’investissement / ROI rapide et tangible
► Coût facturé uniquement sur l’utilisation, demande peu
d’effort de mise en œuvre
Agilité et gestion simplifiée
► Mise en service rapide, disponible immédiatement
Élasticité, extensibilité
► Gestion simplifiée de la capacité : automatisation des
montées en charge et du délestage
Enjeux de sécurité relatifs au Cloud 6
7. Le modèle du Cloud vs
le modèle traditionnel
Modèle traditionnel
clement.gagnon@tactika.com
Cloud
Organisation
Organisation Organisation
Individu
Enjeux de sécurité relatifs au Cloud 7
8. Différence entre le Cloud et
l’impartition
Impartition
Non partagé, un locataire
Une entente de service / SLA spécifique
Fournisseur
Client
Cloud
Partagé, multilocataire
Même entente de service
/SLA pour tous
Enjeux de sécurité relatifs au Cloud 8
9. Modèles de prestation de services
IaaS PaaS SaaS
Infrastructure as a Service Platform as a Service Software as a Service
Service as a Service
Service de traitement (CPU), de Service de plates-formes Service d’applications,
stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la
programmables, facturation , surveillance,
paramétrables, configurables sécurité, etc.
Ex. Système d’exploitation
Windows Server 200X ou Linux, Ex. CRM (software),
Espace de stockage Ex. Sharepoint, Typo3 anti-virus (service)
Abstraction Software
(Application)
Plate-forme Plate-forme
Infrastructure Infrastructure Infrastructure
IaaS PaaS SaaS
Enjeux de sécurité relatifs au Cloud 9
10. Évolution du modèle de prestation de
services
• BPaas / Business Process as a Service
– BPaaS cible les processus métiers : paye, paiement en
ligne, gestion financière
– Sous division de SaaS concerne les applications logicielles
accessibles dans le nuage
• Personnal Cloud
– Ressources informatiques personnelles ou d’une PME
accessible par Internet pour le partage de contenus
(multimédia, document) avec diverses plates-formes
(tablette, téléphone intelligent, ordinateur)
Enjeux de sécurité relatifs au Cloud 10
11. Les modèles de déploiement
Cloud
privé
Organisation
Cloud public
Cloud privé
Organisation
clement.gagnon@tactika.com
Cloud public
Cloud privé
Cloud de
communauté
Enjeux de sécurité relatifs au Cloud 11
12. Les acteurs dans le modèle de prestation
de services
Client / utilisateur
Client / opérateur
Interface
de gestion
Objet du client Software
(Application)
Objet du
client
clement.gagnon@tactika.com
Plate-forme Plate-forme
Infrastructure Infrastructure Infrastructure
Fournisseur
IaaS PaaS SaaS
Opérateur
Enjeux de sécurité relatifs au Cloud 12
13. Vue fournisseur : partagé,
multilocataire, virtualisation
Fournisseur
clement.gagnon@tactika.com
Opérateur
Enjeux de sécurité relatifs au Cloud 13
14. «Chaîne» des tiers
Client
SaaS
clement.gagnon@tactika.com
Software
(Application)
Fournisseur
Client
Plate-forme
Infrastructure
IaaS
Fournisseur How Amazon Controls Ecommerce (Slides)
http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29
Enjeux de sécurité relatifs au Cloud 14
16. Quel modèle de prestation de services ?
• Utilisation de l’infonuagique en 2012 selon Gartner
– Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup
(37%),Hébergement web (34%)
http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions
• Selon KPMG
Tendance
Enjeux de sécurité relatifs au Cloud 16
17. Évolution du centre de données : de la
virtualisation à l’infonuagique
Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public
des serveurs distribuée
Nuage privé
Consolidation Flexibilité Libre-service Montée en Élimination du
Capex Agilité Normalisation charge Capex
Métrique Grande flexiblité
Enjeux de sécurité relatifs au Cloud 17
18. Nuage privé, hybride et public
Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public
Nuage public des serveurs distribuée
Nuage privé
Nuage
privé • Consolidation
• Capex
• Flexibilité
• Agilité
• Libre-service
• Normalisation
• Montée en
charge
• Élimination du
Capex
• Métrique • Grande flexiblité
Organisation
Nuage privé
clement.gagnon@tactika.com
Nuage public
Nuage privé
Enjeux de sécurité relatifs au Cloud 18
19. Infonuagique et la sécurité
• Les trois principales préoccupations selon Gartner
– Sécurité, Protection de la vie privée, Souveraineté des données
http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions
• Selon KPMG
Enjeux de sécurité relatifs au Cloud 19
20. La perception du risque et le Cloud
En affaires, le risque est perçu En sécurité de l’information, le risque
comme une opportunité ou comme un est perçu comme une menace qui
événement négatif. exploite une vulnérabilité.
Les bénéfices du Cloud sont une Les problèmes du Cloud :
opportunité. Une organisation peut Les risques d’un tiers peuvent
démontrer un appétit et une tolérance devenir mes risques ...
aux risques dans sa recherche Si plusieurs tiers sont impliqués,
d’opportunités. les risques des tiers sont «chainés».
Enjeux de sécurité relatifs au Cloud 20
21. Facteurs de risque
• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un
facteur de risque
Gouvernance, risque
et conformité
Processus de gestion
Contrôle et opération
• Le degré d’intégration désigne l’envergure, l’étendue et la criticité du
service Cloud.
Exemple :
Service de mesure de disponibilité de sites Web (intégration faible, impact léger)
Service Web en arrière-boutique (intégration élevée, impact important)
Enjeux de sécurité relatifs au Cloud 21
22. Modèle générique du risque
Surfaces d’attaque
Probabilité
Mesure(s)
Menace(s) de contrôle
Vulnérabilité(s)
RISQUE
clement.gagnon@tactika.com
Impact(s)
Disponibilité
Intégrité
Confidentialité
Enjeux de sécurité relatifs au Cloud 22
23. Principaux risques selon ENISA
1. Perte de la gouvernance
2. Verrouillage/«Lock in» avec le fournisseur
3. Perte de l’isolation «virtuelle»
4. Problème de non-conformité
5. Perte de protection des données
6. Destruction non sécuritaire des données
7. Le fournisseur «à risque»
BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and
Information Security Agency (ENISA) 2009
Enjeux de sécurité relatifs au Cloud 23
24. Principales menaces relatives au Cloud
selon la Cloud Security Alliance
• Utilisation abusive ou malicieuse du Cloud
• Interfaces & API non sécuritaires
• Opérateurs malicieux
• Exploitations des vulnérabilités des plateformes
partagées
• Fuite ou perte de données
• Hijacking d’un compte ou du service
• Exposition inconnue aux risques du fournisseur
Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010
Enjeux de sécurité relatifs au Cloud 24
25. Surfaces d’attaque
Humain
Plate-forme matérielle / poste de travail
Lien de communication
Point d’accès
Clients
SaaS : couche applicative / logiciel
PaaS : couche plate-forme applicative / logiciel
Fournisseur
IaaS : couche système d’exploitation / logiciel
clement.gagnon@tactika.com
Infrastructure de virtualisation et arrière-boutique
Humain
Plate-forme matérielle / poste de travail
Enjeux de sécurité relatifs au Cloud 25
26. Aperçu des menaces
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant, XSS
(cross site scripting), Phishing, DNS poisoning
Panne, désastre, Interception (MITM), déni de service
BOF, Injection SQL, Déni de service, Attaque brute
Clients sur l’authentification
clement.gagnon@tactika.com
Changement non annoncé ou non planifié
Code malveillant, Attaque brute sur
Fournisseur
l’authentification, Attaque sur l’hyperviseur,
Déni de service
Panne, désastre,
injection de code, mauvaise paramétrisation
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant,
XSS (cross site scripting), Phishing, DNS poisoning
Enjeux de sécurité relatifs au Cloud 26
27. Principales vulnérabilités
Conformité
Aspects juridiques ►Multiples législations ► Géolocalisation des données
Maturité des acteurs
Gouvernance absente ou relâchée, état du SMSI
Entente de service/SLA
Mal définie, incomplète
Votre infrastructure
Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
Infrastructure du tiers
Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)
Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)
Gestion des changements, gestion des incidents
Maturité du tiers
Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)
Enjeux de sécurité relatifs au Cloud 27
28. Les fonctions «basiques» de sécurité et
le cloud
Comment ces fonctions
Détection des de sécurité sont-elles
Contrôle d’accès intrusions mises en œuvre dans le
Authentification Détection
Réseau Prévention cloud ?
Réparation
Gestion des
identités et Gestion des
des vulnérabilités
habilitations
Enjeux de sécurité relatifs au Cloud 28
29. Principales mesures de contrôle pour
la sécurité de l’infrastructure
Antivirus, anti-logiciel espion, correctif
Chiffrement, lien sécurisé
Relève, redondance
Contrôle d’accès authentification (forte), réseau
Clients
clement.gagnon@tactika.com
Détection des intrusions
Contrôle d’accès physique de l’infrastructure
Contrôle d’accès authentification (forte), réseau
Fournisseur
Signature et chiffrement
Contrôle des vulnérabilités : correctifs
Relève, redondance
Journalisation, antivirus, anti logiciel-espion, IDS/IPS
Contrôle d’accès : authentification (forte) & réseau
Détection des intrusions, journalisation
Antivirus, anti-logiciel espion, correctifs
Enjeux de sécurité relatifs au Cloud 29
30. Autres mesures de contrôle
• Définition dans l’entente de service/SLA des
éléments de sécurité
– Acceptation implicite des risques !
• Sensibilisation et formation des utilisateurs
• Audit (vous et le fournisseur/tiers)
• Test d’intrusion (limité par le SLA et le modèle de
prestation)
• Relève, redondance (vous versus le tiers)
• Surveillance (monitoring)
Enjeux de sécurité relatifs au Cloud 30
31. Impacts – Quelques cas réels
Disponibilité
Avril 2011 / Panne majeure chez Amazon
Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes
de disponibilité de plusieurs heures
http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html
Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de
données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés.
http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/
Confidentialité
Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique,
carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit.
http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/
Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés
http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/
Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de
nom de compte et de mot de passe
http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html
Intégrité
Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un
contractant.
http://www.theaeonsolution.com/security/?p=207
– Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un
client
http://www.bbc.co.uk/news/business-19857243
Enjeux de sécurité relatifs au Cloud 31
32. Ce qui vient …
• La localisation des services est un enjeu qui est influencé par
– L’infrastructure du fournisseur
– Les besoins du consommateur
– Les pressions budgétaires (réduire le CAPEX et OPEX)
– Exigences de conformité et juridiques
• Pour préserver la confidentialité et l’intégrité, la solution est
le chiffrement dans le nuage
– Complexité
– Expertise
– Intégration
– Fiabilité
– Récupération
Enjeux de sécurité relatifs au Cloud 32
33. Alice et Bob dans le nuage …
Le chiffrement dans le nuage : Facile à dire … mais pas facile à
faire !
• Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN
• Nombreux problèmes avec le traitement et le stockage des données
– Complexité :
• Quoi et comment «le» chiffrer
• Type de chiffrement : symétrique, asymétrique, etc.
• Choix et robustesse de l’algorithme et des clés
• Cycle de vie des clés : création, déploiement, modification, répudiation,
conservation, destruction
– Implantation dans les services : Iaas, PaaS, SaaS
– Gestion des clés : Qui les détient et comment ?
– Performance !
Enjeux de sécurité relatifs au Cloud 33
34. Questions ?
Merci de votre attention !
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
Enjeux de sécurité relatifs au Cloud 34
35. Annexe
Pense-bête pour contrôler
les risques du Cloud
Appliquer les bonnes pratiques selon votre contexte !!!
Mettre à jour votre cadre de sécurité pour inclure le Cloud
Déterminer vos besoins
Déterminer un niveau de service
Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des
données ► Destruction des données
Catégoriser vos données, évaluer la criticité du service
Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !
Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI
Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la
localisation du désastre …
Avez-vous une copie de vos données qui sont chez le fournisseur ?
Surveiller et journaliser ► Audit
Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve,
enquête
Documenter l’architecture(s) ► Documenter … documenter … documenter
Enjeux de sécurité relatifs au Cloud 35
36. Annexe
Comment implanter l’infonuagique
Évaluation des besoins
Étude d’opportunuité
Analyse de risques
Évaluation des impacts
Évaluation de la maturité de
l’organisation
Analyse préliminaire
Mode de
Prestation de Architecture de la solution du MO
service ? Implantation
Intégration
Mode de
déploiement ?
Nuage public Nuage hybride Nuage privé
IaaS PaaS SaaS
Stratégie d’implantation
Acquisition
Implantation
Processus de gestion
Exploitation
TI
Opération
Ententes
contractuelles
Enjeux de sécurité relatifs au Cloud 36