Nous observons que le Cloud Computing en général ainsi que l'ensemble des catégories de modèles « X en tant que Service » sont de plus en plus susceptibles de réduire le poste de travail à un simple terminal, comme dans les années quatre-vingt, où le modèle Client/Serveur était particulièrement populaire. La principale différence est que l'ordinateur central ne constitue plus nécessairement une seule unité et que le trafic entre le client et le serveur ne se limite plus à une connexion P2P. Du côté du serveur, de nos jours, de multiples unités centrales et appareils de stockage peuvent être étendus sur demande, si une capacité supplémentaire est requise, ou modifiés, dans le but de multiplier les fonctionnalités. Cela signifie que les données peuvent se trouver en de multiples endroits et que les fichiers de données eux-mêmes peuvent être fractionnés et disséminés géographiquement entre plusieurs périphériques physiques. Outre les lois de stockage des données, les conditions de conformité et les contraintes pour les fournisseurs, les responsables informatiques considèrent la sécurité comme un casse-tête majeur auquel ils sont désormais confrontés lorsqu'il s'agit d'exploiter la puissance et les fonctionnalités informatiques du réseau.
En tant que fan de science-fiction, j'aime comparer ce scénario à la manière dont les drones Borg de Star Trek sont organisés en « Collectif » neuronal interconnecté. Les Borgs sont constitués d'un esprit unique et partagent tous le même objectif d'assimilation des autres formes de vie afin d'augmenter leur propre force, la Reine Borg constituant le centre névralgique de commandes - une menace très dangereuse à laquelle les équipages de l'Enterprise et du Voyager sont confrontés. Il est difficile de trouver la moindre faille au système de défense des Borgs ; la difficulté augmente au fur et à mesure que le réseau collectif des Borgs ainsi que l'ensemble de ses drones - les clients - tirent les enseignements de ses faiblesses, s'adaptant en permanence. Les équipages de l'Enterprise et du Voyager sont par exemple contraints de modifier les fréquences de leurs pistolets laser en permanence pour survivre aux combats entre hommes et drones Borg, ceux-ci s'adaptant immédiatement après détection et analyse de la menace par leur système.
Les Borgs n'ont toutefois pas été capables de détecter les équipes envoyées pour infiltrer le Cube et tenter de saboter leur système de défense. La raison en est tout simplement que l'attaque lancée n'a pas été définie en tant que règle ou politique ni décrite dans un fichier de signature. Elle n'a par conséquent pas été reconnue comme une menace et l'assaillant est demeuré invisible.
Quelles pourraient être les conséquences d'une telle faille en cas de bogue informatique ou d'attaque de virus ? Will Smith et Jeff Goldblum, les héros d'Independence Day, parviennent à introduire un virus dans l'ordinateur central du réseau de contrôle des extraterrestres, anéantissant l'intégralité de leur système de défense. Leurs vaisseaux spatiaux sont alors abattus par le président américain et ses amis. Les extraterrestres n'ont pas été capables de réagir à l'offensive et de s'adapter avec suffisamment de rapidité, ce qui a entraîné leur défaite.
De telles analogies nous enseignent que le réseau peut être très efficace s'il se substitue à l'ordinateur et que les besoins en formation et en initiation peuvent être réduits si une interface utilisateur et une politique uniques sont mises en place. Le réseau, en tant qu'ordinateur, peut être facile à adapter face à des aléas tels que des menaces, des modifications de fonctionnalités et des besoins en capacité.
Si, toutefois, la moindre vulnérabilité non détectée et reconnue par le principal centre de commandes devait être exploitée, vous pourriez devoir faire face à de graves difficultés et votre système tout entier pourrait s'effondrer. Malheureusement, dans la vraie vie, les Borgs et les extra-terrestres sont sympas et fournissent au réseau des services informatiques ; mais les Capitaine Janeway, Jean-Luc Picard et autres Will Smith ne font pas montre de grandeur d'âme...
En tant que fan de science-fiction, j'aime comparer ce scénario à la manière dont les drones Borg de Star Trek sont organisés en « Collectif » neuronal interconnecté. Les Borgs sont constitués d'un esprit unique et partagent tous le même objectif d'assimilation des autres formes de vie afin d'augmenter leur propre force, la Reine Borg constituant le centre névralgique de commandes - une menace très dangereuse à laquelle les équipages de l'Enterprise et du Voyager sont confrontés. Il est difficile de trouver la moindre faille au système de défense des Borgs ; la difficulté augmente au fur et à mesure que le réseau collectif des Borgs ainsi que l'ensemble de ses drones - les clients - tirent les enseignements de ses faiblesses, s'adaptant en permanence. Les équipages de l'Enterprise et du Voyager sont par exemple contraints de modifier les fréquences de leurs pistolets laser en permanence pour survivre aux combats entre hommes et drones Borg, ceux-ci s'adaptant immédiatement après détection et analyse de la menace par leur système.
Les Borgs n'ont toutefois pas été capables de détecter les équipes envoyées pour infiltrer le Cube et tenter de saboter leur système de défense. La raison en est tout simplement que l'attaque lancée n'a pas été définie en tant que règle ou politique ni décrite dans un fichier de signature. Elle n'a par conséquent pas été reconnue comme une menace et l'assaillant est demeuré invisible.
Quelles pourraient être les conséquences d'une telle faille en cas de bogue informatique ou d'attaque de virus ? Will Smith et Jeff Goldblum, les héros d'Independence Day, parviennent à introduire un virus dans l'ordinateur central du réseau de contrôle des extraterrestres, anéantissant l'intégralité de leur système de défense. Leurs vaisseaux spatiaux sont alors abattus par le président américain et ses amis. Les extraterrestres n'ont pas été capables de réagir à l'offensive et de s'adapter avec suffisamment de rapidité, ce qui a entraîné leur défaite.
De telles analogies nous enseignent que le réseau peut être très efficace s'il se substitue à l'ordinateur et que les besoins en formation et en initiation peuvent être réduits si une interface utilisateur et une politique uniques sont mises en place. Le réseau, en tant qu'ordinateur, peut être facile à adapter face à des aléas tels que des menaces, des modifications de fonctionnalités et des besoins en capacité.
Si, toutefois, la moindre vulnérabilité non détectée et reconnue par le principal centre de commandes devait être exploitée, vous pourriez devoir faire face à de graves difficultés et votre système tout entier pourrait s'effondrer. Malheureusement, dans la vraie vie, les Borgs et les extra-terrestres sont sympas et fournissent au réseau des services informatiques ; mais les Capitaine Janeway, Jean-Luc Picard et autres Will Smith ne font pas montre de grandeur d'âme...
Marcel is a Managing Consultant, CISSP-ISSAP and ISO27K Lead Auditor certified. Specialised in IT Security and Unified Communications at Orange Business in Amsterdam since 1998. Marcel has more than 28 years experience in the Electronics, Offshore and the IT industry where he fulfilled roles in Electronic Engineering, Project Management, Operational Management, Quality Management, Managed Security development, Compliancy and Consultancy Risk Assessments.