Le Cloud Computing souvent considéré comme une "révolution" dans la façon de consommer des ressources technologiques induit des modifications de comportement.
Tant pour l'utilisateur que pour le prestataire de Services.
Face à l'émergence des offres de Cloud Computing l'ENISA (European Network and Information Security Agency) a étudié les pratiques afin d'en déterminer les risques.
A cette fin l'ENISA a publié 2 guides (en langue anglaise) couvrant les risques techniques, juridiques et politiques :
- Cloud Computing Security Risk Assessment.
- Cloud Computing Information Assurance Framework.
Ils mettent en exergue la nécessité :
- d'évaluer les risques induits par l'adoption du Cloud Computing,
- de comparer les différents fournisseurs et leur type d'offres (Iaas, Paas, SaaS, etc.),
- d'obtenir l'assurance de la maitrise des aspects sécuritaires du fournisseur,
- de s'assurer que les fournisseurs maitrisent l'ensemble des acteurs ayant accès aux plates-formes dites "Cloud".
En effet si il est acquis que multiplier les ressources informatique, et industrialiser leur déploiement procure un immédiat bénéfice sécuritaire il n'en demeure pas moins que les nouveau usages de cette technologie doivent modifier les habitudes acquises.
Qu'est-ce que le Cloud Computing ?
Le Cloud Computing est une nouvelle façon de consommer les ressources informatiques. Le principal différenciateur de cette technologie étant de mutualiser les ressources afin d'en partager les coûts et l'usage, c'est la ressource "on-demand". Ainsi "n" serveurs seront partagés par "n" clients et "n" Services/Applications.
De ce fait les ressources non allouée, ou non utilisées à un instant "t" peuvent être affectées à un client ou un application donnée, sans nécessité d'ajout supplémentaire de ressources (mémoire, stockage, cpu, bande passante, etc.). C'est ici qu'est la révolution du Cloud Computing. Enfin cette mutualisation des ressources a un impact immédiat sur les coûts en matériel (serveur, stockage, etc.) et sur la consommation d'énergie. Ce dernier point en fait un véritable levier en matière de politique Green IT et devrait accélérer sensiblement le recours au Cloud Computing dans les années à venir.
Pourquoi sécuriser le Cloud Computing ?
Cet Eldorado des ressources "illimitées" implique dans la majorité des cas de faire appel à un prestataire de Services. Il appartient donc au prestataire de garantir la Sécurité quant aux données que les clients lui confient.
C'est précisément là qu'intervient l'ENISA, en déterminant les critères de choix des prestataires et surtout en mettant l'accent sur les principaux risques parmi lesquels "le verrouillage, les erreurs mécaniques dans la séparation des données clients et des applications, et les risques juridiques "
Que préconise l'ENISA ?
L'Information Assurance Framework a été construit selon les principes des normes ISO 27001, ISO 27002 et BS25999, il aborde successivement :
- La Gestion des risques,
- Évaluation des risques,
- Analyse des risques
- Réduction des risques.
- Les exigences de sécurité de l'information :
- Sécurité du personnel,
- Fourniture de service,
- Sécurité opérationnelle,
- Gestion des identités et des accès,
- Gestion des assets (actifs),
- Gestion de la continuité,
- Sécurité physique,
- Contrôle de l'environnement,
- Les exigences réglementaires,
On le voit immédiatement, ces pratiques sont clairement proches des autres méthodologies ou normes.
Néanmoins l'ENISA a pris soin de différencier les exigences sécuritaires selon les types de Services (IaaS, SaaS, PaaS) et délimitant les responsabilités du fournisseur et du propriétaire des données.
Si vous souhaitez en savoir davantage consultez le site de l'ENISA et l'Information Assurance Framework.
Copyright Emmanuel ULRICH - http://www.itpedia.fr 2010 all rights reserved.
Si vous souhaitez utiliser ce contenu merci d'adresser votre demande à Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir.
