Résumer la sécurité du Cloud Computing à "une seule famille" de sécurité c'est ne pas comprendre de quoi il retourne. Si vous savez faire la différence à votre niveau il vous sera surement nécessaire de faire passer vos messages, propositions et idées à d'autres.
Pour simplifier, je vous propose une segmentation en 3 de la sécurité du Cloud. Rien de très magique mais cela devrait surement vous permettre de mettre les choses au clair. Car être clair dans sa façon de communiquer est un élément clef... ce que les personnes en charge de la sécurité ne savent pas toujours bien faire (moi le premier). 1, 2, 3, c'est parti !
OF : la sécurité du Cloud
La sécurité du Cloud (ou "Security OF the Cloud") c'est la sécurité du Cloud lui-même. C'est une sécurité qui ne se voit pas, qui est intégrée nativement dans une infrastructure afin que les données qui seront déposées soient effectivement bien à l'abri.
Dans cette sécurité "OF the Cloud" on y retrouve les approches de "SecureByDesign" ou "SDLC" comme celles de Microsoft, d'Adobe ou d'Amazon (cf mon article sur le congrès CSA EMEA 2013). Ce sont tous les contrôles de sécurité techniques ou organisationnels qu'un fournisseur intègre nativement dans sa solution pour que son niveau de sécurité soit en phase avec les bonnes pratiques de base (comme par exemple les règles du guide d'hygiène informatique de l'ANSSI).
La sécurité "OF the Cloud" coûte de l'argent à un fournisseur et elle est rendue visible (ou "valorisée") via les WhitePapers ou les certifications sécurité. La sécurité "OF the Cloud" c'est le "must have" ou "la ligne de flottaison minimale". Un client n'achète pas de la sécurité "OF the Cloud", il achète un service de Cloud sécurisé.
FOR : la sécurité autour des usages du Cloud
La sécurité "FOR the Cloud" regroupe toutes les options et services de sécurité additionnels qui viennent compléter le dispositif sécuritaire d'un déploiement dans le Cloud ou de l'utilisation du Cloud.
Dans la sécurité "FOR the Cloud", on peut retrouver par exemple des fonctionnalités de type IPS ou de WAF pour renforcer une offre standard de type IaaS. Pour une offre de type dropbox, on viendra ajouter des fonctionnalités de chiffrement des données au niveau du poste de travail ou de fédération d'identité.
La sécurité "FOR the Cloud" vient donc compléter le tableau en termes de sécurité. Ces options ou services peuvent être proposées par un fournisseur dans un pack "pour entreprises" ou alors elles peuvent être mises en place dans un déploiement hybride (un fournisseur de Cloud étant en charge du chiffrement des données, l'autre restant en charge du stockage des données).
La sécurité "FOR the Cloud" c'est donc du revenu supplémentaire et le client la voit car il achète/souscrit à une fonction de sécurité en tant que telle.
IN : la sécurité dans le Cloud
La troisième catégorie c'est la sécurité qui est délivrée depuis le Cloud. Un exemple typique ce sont les services de filtrage d'URL comme ceux de Zscaler. Avec un tel service, il est possible de mettre en place du surf Internet "sécurisé" sans avoir à déployer aucun équipement et ce tant pour des utilisateurs sédentaires que des sites distants mais aussi des utilisateurs en mobilité.
Bien sûr, un service de sécurité "IN the Cloud" s'appuie sur une infrastructure de Cloud qui doit elle-même être sécurité ("OF the Cloud")... car sinon le service sera franchement pourri.
La sécurité "IN the Cloud" peut aussi être utilisée comme moyen de délivrer des services complémentaires à une offre de Cloud : La sécurité "IN the Cloud" est donc ici un outil qui va être utilisé pour délivrer de la sécurité "FOR the Cloud".
mais tout n’est pas si simple
Rares sont les approches qui segmentent ainsi la sécurité du Cloud : surtout entre le « OF » et le « FOR ». Ni le guide la Cloud Security Alliance ou d’autres organisations font cette différence. Pourquoi ? Peut-être est-ce dû au fait que définir ce qui est dans le « OF » n’est pas aussi facile et qu’il y a aussi une stratégie de répartir plus ou moins les fonctions de sécurité entre ces deux couches « OF » et « FOR ». Cela est un sujet en soit mais je le réserve pour un futur article.
vous êtes perdus ? Moi aussi ! ;-)
J'espère que je ne vous ai pas perdu en chemin avec mes "OF, FOR et IN" et les subtiles relations qui existent entre ces 3 catégories de sécurité... Si vous avez une autre approche ou des questions, usez et abusez des commentaires ci-dessous. A très bientôt !
Jean-François Audenard (aka Jeff)
Crédit photo : © ra2 studio - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens