latribuneducloud

Home » Sécurité et confidentialité des données » Les 9 principales menaces qui planent sur le cloud selon le Cloud Security Alliance

Les 9 principales menaces qui planent sur le cloud selon le Cloud Security Alliance

Archives

Calendrier

March 2013
M T W T F S S
« Feb   Apr »
 123
45678910
11121314151617
18192021222324
25262728293031

21 CSA logoLe développement rapide du cloud computing a créé de nouvelles menaces en matière de sécurité et parmi lesquelles une des plus fréquentes est que les directions opérations « bypassent » la DSI pour faire appel directement à des services cloud. On a connu le même phénomène dans l’histoire de l’informatique, notamment aux premières années des PC où de nombreux services s’équipaient directement sans demander l’accord des directions informatiques qui ne reconnaissaient pas vraiment ce nouvel équipement et ne savaient pas comment le gérer et l’intégrer au système d’informatique.

Le Cloud Security Alliance vient de publier l’édition 2013 de son désormais rapport annuel évaluant les risques et l’importance des principales menaces de sécurité qui pèsent aujourd’hui sur le cloud (The Notorious Nine Cloud Computing Top Threats in 2013). Pour les identifier et les hiérarchiser, le CSA a consulté un panel représentatif de spécialistes de sécurité. Ces 9 menaces sont les suivantes :

1. Violation de données
C’est le cauchemar de tous les DSI : que des données sensibles tombent dans les mains de concurrents. En novembre 2012, l’université de Winconsin et RSA ont publié un article montrant comment une machine virtuel pouvait récupérer une clé privée utilisée par une machine virtuelle présente sur le même serveur. Si l’architecture multi-tenant est mal configurée, une faille sur une application permet à un utilisateur d’avoir accès non seulement à des données liées à cette application, mais également à d’autres.

21 CSA1

2. Pertes de données
La perte de données est une crainte permanente, tant pour les entreprises que les particuliers. Et les données peuvent être perdues pour beaucoup d’autres que celles liés aux cyberpiratage. Un effacement des données pur et simple, une catastrophe physique (tremblement de terre, inondation…) peut entraîner une perte définitif de données.

21 CSA2

3. Détournement de compte
Ce type de menace n’est pas nouveau. Et les méthodes sont connues : phishing, fraude, exploitation des vulnérabilités des logiciels et des applications… Les solutions cloud en ajoutent de nouvelles. Si une personne mal intentionnée peut récupérer votre identité, il a alors accès à toutes vos activités, vos transactions, peut  manipuler vos données, retourner de fausses informations, rediriger vos clients vers des sites illicites…

21 CSA3

4. API non sécurisées
Les fournisseurs exposent un ensemble d’API qui permettent à leurs clients d’interagir facilement avec les services cloud. Provisioning, gestion, orchestration et supervision utilisent ces interfaces. La sécurité et la disponibilité de ces services cloud sont liées à ces interfaces. De l’authentification au contrôle d’accès en passant par le chiffrement et le suivi d’activité.

21 CSA4

5. Déni de service
Alors que les attaques de type DDoS (distributed denial-of-service) attire l’attention des médias, elles ne sont pas seules formes. Les attaques liées aux applications asymétriques DoS prennent avantage des vulnérabilités des serveurs Web, des bases de données et autres ressource sur le cloud, permettant aux codes malveillants de mettre à bas une applications avec un simple code de quelques octets.

21 CSA5

6. Utilisateurs malveillants
Ce type de menace concerne un ancien employé, un fournisseur, un partenaire qui a un accès autorisé au réseau, aux serveurs, aux données et  qui utilisent cet accès avec un objectif ayant une implication sur la confidentialité, l’intégrité ou la disponibilité du système d’information. De l’IaaS, puis au PaaS et au SaaS, de telles personnes ont un accès de plus en plus important aux données sensibles et/ou stratégiques.

21 CSA6

7. Abus de services cloud
Un des avantages du  cloud est qu’il donne accès à des petites structures à des ressources informatiques considérables. Et donne avoir accès à une force de frappe qui peut être utilisée à des fins malveillantes. Cette menace concerne les fournisseurs de services cloud plutôt que les utilisateurs, mais a des conséquences à prendre en compte par les fournisseurs : comment vos détecter les personnes qui utilisent anormalement des services ? Comment vous définissez la notion d’abus ? Comment vous les empêcher de recommencer ?

21 CSA7

8. Mauvaises procédures
Le cloud computing fait miroiter de nombreux avantages et constitue une sorte de nouvelles ruée vers l’or. Mais trop d’entreprises vont se lancer dans des projets de cloud sans en comprendre tous les tenants et aboutissants. Parmi celles-ci : les obligations contractuelles sur les risques, les niveaux de services, la transparence de l’offre afin de réduire l’écart entre l’offre et les attentes des clients. Aller vers le cloud nécessite méthodes, ressources, procédures…

21 CSA8

9. Problèmes liés aux technologies de partage
Les fournisseurs garantissent que le service qu’ils proposent est  évolutif (scalable) grâce à la mutualisation et au  partage des infrastructures, des environnements logiciels et des applications. Mais ces architectures dites « multi-tenants » sont complexes et doivent conçues et mises en œuvres avec beaucoup d’attention. Car c’est tout l’environnement cloud du fournisseur qui peut en être affecté.

21 CSA9


1 Comment

  1. […] Le développement rapide du cloud computing a créé de nouvelles menaces en matière de sécurité et parmi lesquelles une des plus fréquentes est que les directions opérations…  […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: