Assises de la Sécurité 2011 : la sécurité du nuage dans le brouillard

• Imprimer

La question de la sécurité du cloud est toujours importante, mais l'heure n'est plus aux hésitations, mais bien à l'intégration d'outils ou de solutions pour tirer bénéfice de cette branche de l'informatique. Sécurisation de l'hyperviseur, chiffrement des données, utilisation de liens sécurisés, etc.

Parmi les nombreux sujets abordés aux assises de la sécurité, le cloud computing est devenu depuis quelques années une problématique récurrente. Cette année, le discours des RSSI et des DSI a un peu changé. Ils ne perçoivent plus le cloud comme une menace sécuritaire, mais comme un atout pour certaines problématiques (stockage de données, environnement de développement, etc.). L'heure est donc à l'accompagnement de cette évolution avec différents outils et solutions, et cela à tous les niveaux.

Les hyperviseurs deviennent une cible privilégiée

Les hyperviseurs concentrent beaucoup l'attention des constructeurs et des équipementiers. Ainsi, Hugh Njemanze, CTO de la division sécurité d'HP, explique « le temps est venu d'une plus grande intégration des éléments de sécurité pour connecter les infrastructures existantes avec des environnements de type SaaS » et d'ajouter « il faut être capable de scanner du code source, d'analyser en temps réel, de répondre à des attaques ou des intrusions sur ce type de modèle ». Pour lui, il y a une prise de conscience de la part des fournisseurs de SaaS qui sécurisent aussi leur plateforme, expose leurs API permettant des audits, de la surveillance. Les règles de sécurité doivent descendre jusqu'au niveau de l'hyperviseur, indiquent Hugh Njemanze en soulignant que HP proposera des solutions dans ce domaine dans les prochains mois sur VMware, Citrix ,...

Juniper est sur la même longueur d'onde. Le constructeur a animé un atelier avec un titre un peu provocateur, le datacenter est-il inattaquable ? « Que l'on soit sur du virtuel ou sur du physique, il est essentiel d'avoir une politique de sécurité cohérente dans les deux mondes » souligne Laurent Paumelle, Ingénieur systèmes chez Juniper. Pour lui, l'hyperviseur est un enjeu important de la protection du cloud, « il faut être capable de sécuriser les VM, mais également permettre le dialogue entre les VM. Ainsi, il est nécessaire d'appliquer des règles de sécurité si par exemple vous mettez dans une DMZ un serveur Apache, cela doit signifier que vous autorisez les sessions http depuis d'autres machines » précise Laurent Paumelle. L'objectif est d'avoir une visibilité des flux, de la volumétrie sur la couche virtuelle et d'être capable d'appliquer des politiques de sécurité.

Chiffrement et rôle du RSSI

Si la question de l'hyperviseur semble faire débat, les problématiques de protection de la donnée en elle-même et donc du chiffrement s'invite aussi dans les débats. Safenet rappelle que sur la totalité de la vie de l'information, il est utile de chiffrer et d'avoir des solutions d'authentification forte. Selon Mike Smart, directeur produits et solutions chez Safenet « il faut répondre à deux exigences, la performance car les outils de cryptographie ne doivent pas ralentir les bénéfices du cloud et le renforcement des authentifications » et d'ajouter « pour le second élément, nous travaillons activement sur les courbes elliptiques qui sont plus efficaces que les protocoles de type AES et considérées comme mathématiquement inviolables ». Cette technique va être appliquée pour chiffrer des instances virtuelles à travers une offre baptisée Protect V, qui sortira à la fin de cette année ou au début 2012. « Ainsi les données d'une VM peuvent être dupliquées avec confiance notamment depuis un cloud public comme Amazon Web Services », précise Mike Smart.

Au final, Edouard Janson, directeur de la branche sécurité de Sogeti se veut optimiste  « le cloud est un atout pour les RSSI, car dès que vous voulez mettre un fichier serveur dans le cloud, le DSI se retournera vers le RSSI pour le sécuriser, chiffrer les données, étudier les contrats, assurer la réversabilité, rapport avec la CNIL, garantir la territorialité des informations ». Il rappelle également que le cloud et la virtualisation reposent sur du matériel et que l'on oublie souvent de vérifier la « propreté » des équipements. Les équipes de chercheurs d'Edouard Janson ont ainsi fait la démonstration d'un rootkit pour carte réseau permettant de passer d'une machine virtuelle à une autre.