Sé­cu­ri­té trans­ver­sale, confor­mi­té op­ti­male

L'Informaticien - - DOSSIER CLOUD -

Im­pos­sible de par­ler de ges­tion du Cloud hy­bride sans évo­quer la sé­cu­ri­té et d’un axe de plus en plus sol­li­ci­té, la confor­mi­té. Sur la sé­cu­ri­té, les ré­centes af­faires du vol des don­nées de Uber et de Tes­la ont mis en exergue la pro­blé­ma­tique des mau­vaises confi­gu­ra­tions des bu­ckets S3 sur AWS. Se­lon une étude de Red­lock, le constat est alar­mant avec 51 % des en­tre­prises ayant connu une fuite de don­nées dans le Cloud en 2017. Les so­lu­tions de ges­tion de Cloud doivent donc prendre en compte ces élé­ments de sé­cu­ri­té : ges­tion des ac­cès, des iden­ti­tés, chif­fre­ment des don­nées, dé­tec­tion d’in­tru­sion, etc. « La sé­cu­ri­té est in­trin­sèque à la to­po­lo­gie du Cloud, elle s’ins­crit dans un dé­bat phi­lo­so­phique sur le sou­hait de res­ter dans un mo­dèle maître- es­clave ou d’al­ler vers un mode col­la­bo­ra­tif avec une vue glo­bale du cycle de vie des dif­fé­rents élé­ments » , constate Fran­çois Ba­ran­ger, CTO de T- Sys­tems France. Pour Er­wan Ma­ré­chal, chez IBM, « Il faut mettre en place un sys­tème im­mu­ni­taire ca­pable de se pro­té­ger et de se dé­fendre. Il ne faut pas être naïf, le cC­loud n’est pas plus fra­gile, en re­vanche la na­ture des me­naces cible plus les ap­pli­ca­tifs. » Il faut donc conce­voir sa pro­tec­tion en termes de « sé­cu­ri­té by de­si­gn » , c’es­tà- dire dès la concep­tion de l’ap­pli­ca­tion en pre­nant en compte la sé­cu­ri­té, conte­neurs, dé­pôt Gi­tHub, mise à jour de cor­rec­tifs, etc. Pour ras­su­rer en­core un peu plus, les four­nis­seurs de Cloud tra­vaillent pour rendre les ins­tances les plus sen­sibles confi­den­tielles, Azure Con­fi­den­tial de Mi­cro­soft ou le pro­jet Asy­lo de Google. Avec le RGPD, le Cloud Act, les évo­lu­tions de ré­gle­men­ta­tion dans le do­maine ban­caire via Bâle 3, être conforme n’a ja­mais été aus­si im­por­tant. Sur­tout que les sanc­tions fi­nan­cières sont à la clé en cas de man­que­ment. Le Cloud ne peut donc pas s’ex­traire de ces contraintes. Ces der­nières peuvent être adres­ser de dif­fé­rentes fa­çons, « l’au­to­ma­ti­sa­tion est un moyen pour vé­ri­fier la confor­mi­té » , ex­plique Yann Guer­nion, de CA Tech­no­lo­gies et de pour­suivre, « dans le cas du RGPD, le texte touche beau­coup de mé­tiers. Il y a une forte de­mande sur les en­vi­ron­ne­ments de tests qui ont be­soin de co­pies de don­nées de pro­duc­tion com­pre­nant des don­nées per­son­nelles. Il faut donc être ca­pable d’ano­ny­mi­ser les don­nées, ce­la passe par de l’au­to­ma­ti­sa­tion » . Les four­nis­seurs de Cloud pu­blic in­tègrent de plus en plus cette brique de confor­mi­té comme par exemple Vir­tus­tream, spé­cia­liste de la mi­gra­tion des ap­pli­ca­tions cri­tiques dans le Cloud. Il vient d’ajou­ter à son offre de ma­na­ge­ment des fonc­tion­na­li­tés de ges­tion du risque et de la confor­mi­té.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.