Bonnes pratiques de la sécurisation physique

 Découper les locaux informatiques en zones de sécurité concentriques, regrouper le matériel le plus sensible dans les zones les mieux protégées.

 Déporter à l‟extérieur des locaux les accès de maintenance ordinaire (eau, électricité, ascenseurs, etc.)

 Eloigner les supports de sauvegarde (bandes, cassettes, CD, etc.) des locaux, si possible du bâtiment. La répartition du système de stockage sur plusieurs data centres permet de limiter les risques de perte totale du service en améliorant la tolérance de panne.

 Contrôler l'accès par des systèmes à clé, cartes, digicodes, etc. Faciles à utiliser et dont les listes d‟accès sont actualisées en permanence.

 Installer des systèmes de surveillance extérieure permanente (caméras, détecteurs de présence, etc.)

 Enregistrer en vidéo les entrées et sorties (très dissuasif). L'enregistrement doit pouvoir durer entre le moment d'une intrusion et le moment de la constatation d'une malveillance, y compris pendant les congés tout en respectant les réglementations de protections liées à l‟utilisation des données personnelles.

 Mettre en œuvre de bonnes pratiques pour accompagner durant leur venue les visiteurs. Nous les adapterons selon le niveau de criticité :

 Etablir une politique d‟accès générale comprenant toutes les exceptions.

 Y soumettre tous les utilisateurs du site.

 Identifier clairement les visiteurs par un badge spécial à durée limitée.

 Installer des sanitaires/vestiaires pour les visiteurs.

 Ne jamais laisser un visiteur seul se promener dans le bâtiment.

 Tout visiteur doit avoir une autorisation d‟accès délivrée par un responsable (maintenance, entretien, visites, réunions, etc.).

 Concevoir le data center de façon à ce que la présence d‟équipes de nettoyage ne soit pas nécessaire dans la salle des serveurs (mobilier antistatique, filtres à particules, etc.) [Philippe Hedde, 2010].

33

2.2. Sécurité logique

2.2.1. La confidentialité

La confidentialité assure que les données d'un client ne soient accessibles que par les entités autorisées. Les différentes solutions de Cloud Computing comportent des mécanismes de confidentialité comme la gestion des identités et des accès, le cryptage et l‟anonymisation.

Les contrôles d'accès les plus sécurisés ne sont d'aucune protection contre un attaquant qui gagne l'accès à des informations d'identification ou des clés. Ainsi, les informations d'identification ou de gestion des clés sont des maillons essentiels dans la conception de la sécurité [Grevet, 2009].

La majorité des échangés internes ou externes au Cloud sont encapsulés en SSL (Secure Sockets Layer) et authentifiés avec un certificat généré par le client. Ce certificat n'est lié à aucune autorité de certification racine de confiance mais plutôt auto-signé par le client lui-même. Tant que ce dernier assure le contrôle de sa clé privée, le mécanisme permet un degré élevé d'assurance : seuls les clients autorisés et présentant cette clé peuvent accéder à des aspects spécifiques du service.

Le cryptage est à-priori séduisant, notamment la méthode classique à base de clé publique/clé privée : seul le destinataire de l‟information peut déchiffrer la donnée qui lui est destinée avec sa clé privée, connue de lui seul, mais pas du fournisseur de la solution Cloud et moins encore d‟un autre colocataire. C‟est une méthode très sécurisée (selon la taille de la clé) et sélective car nous pouvons choisir de ne chiffrer que ce qui le nécessite.

Toutefois le chiffrement impose certaines réflexions quant à son implémentation. Notamment dans le cas où des traitements sont nécessaires (calcul, indexation, sauvegarde), pouvant obliger à la manipulation de données décryptées [Philippe Hedde, 2010].

Anonymisation des données est l'une des techniques de la confidentialité qui se traduisent par la conservation de l'information, ce qui rend les données inutiles pour tout le monde sauf les propriétaires.

2.2.2.

L’intégrité

En plus de la confidentialité des données, les clients ont aussi besoin de se soucier de l'intégrité de leurs données. La confidentialité n'implique pas l‟intégrité : les données peuvent être anonymes pour des raisons de confidentialité. L‟anonymisation peut être suffisante pour la confidentialité, mais l'intégrité nécessite l'utilisation de codes d'authentification de message

34

(MAC). Un autre aspect de l'intégrité des données est important, surtout avec le stockage en utilisant IaaS. Une fois qu'un client a plusieurs giga-octets (ou plus) de ses données dans le Cloud, comment-il peut vérifier l'intégrité de ses données ? Il existe des coûts de transfert IaaS associés au déplacement des données dans et vers le Cloud ainsi que des considérations d'utilisation du réseau (bande passante) pour le réseau propre au client. Qu'est-ce qu'un client veut vraiment faire pour valider l'intégrité de ses données pendant que les données restent dans les Clouds sans avoir les charger. Cette tâche est encore plus difficile parce qu‟elle doit être faite sans aucune connaissance explicite sur la totalité des données. Les clients généralement ne connaissent pas sur quelles machines physiques leurs données sont stockées. En outre, ces données se changent fréquemment et elles sont probablement dynamiques. Ces changements fréquents évitent l'efficacité des techniques d'assurance traditionnelles de l'intégrité [Mather et al, 2009].

2.2.3.

La disponibilité

L'un des principaux avantages fournis par des plates-formes de Cloud Computing est la disponibilité robuste basée sur la redondance réalisée avec des technologies de virtualisation. Windows Azure par exemple offre de nombreux niveaux de redondance fournissant une disponibilité maximale des données et des applications. Les données sont répliquées au sein de Windows Azure sur trois nœuds distincts pour minimiser l'impact des pannes matérielles. Les clients peuvent exploiter la nature géographique de l'infrastructure Windows Azure en creusant un deuxième compte de stockage fournissant des capacités de basculement à chaud. Dans de tels scénarios, les clients peuvent créer des rôles personnalisés à répliquer et synchroniser les données entre les installations de Microsoft. Ils peuvent également créer des rôles personnalisés pour écrire des données de stockage pour des sauvegardes sur site privé.

Les agents tournant sur les machines virtuelles invitées surveillent la santé de ladite machine. Si l'agent ne répond plus, le contrôleur redémarre la machine virtuelle. Les clients pourront éventuellement choisir d'exécuter des processus de suivi de santé plus sophistiqués et adaptés à leur politique de continuité. En cas de défaillance du matériel, le contrôleur déplace l‟instance du rôle vers un nouveau nœud et reprogramme la configuration réseau pour les instances de ce rôle afin de rétablir la disponibilité totale du service.

Les contrôleurs adhèrent au même principe de disponibilité grâce à la redondance et à un basculement automatique assurant la disponibilité continue des capacités de gestion des contrôleurs [Grevet, 2009].