novembre 25th, 2009

Cloud et Virtualisation : ça vous gratouille ou ça vous chatouille ?

Posté on 25 Nov 2009 at 6:58

Les problèmes de sécurité propres –ou conséquence de- la virtualisation sont généralement difficiles à cerner. Nouvelle technologie, matraquage marketing des principaux vendeurs qui jurent leurs grands dieux de l’invulnérabilité de leurs produits (à tel point que virtualiser est parfois présenté comme une forme de protection absolue), effervescence de « solutions de sécurité » prétendant résoudre des problèmes que d’autres assurent ne pas exister (de l’antivirus au routeur) filtreur virtuel en passant par les outils de déploiement etc… il est difficile de s’y retrouver, même pour un administrateur chevronné.

Pour lui, et pour tous les DSI, CSO et RSSI en cours d’étude de faisabilité, l’Enisa vient de publier un document de plus de 120 pages, Cloud Computing, Benefits, risks and recommendations for information security. Comme d’habitude, une approche méthodologique précise, presque normative et chirurgicale de la gestion de risques dans une architecture Cloud. Les premiers chapitres s’attachent principalement à l’aspect virtualisation de la chose, puis à la notion de sous-traitance, de Saas, et même de coûts. C’est un document manifestement très important, qui permet à l’architecte d’un projet en « cloudification » d’établir une priorité des tâches et des fonctions selon une perception des risques « par tranche de travaux ».

Plus « léger », mais oh combien plus compréhensible lorsque l’on n’est pas un sorcier du virtuel, ce petit papier signé Tyler sur le blog de Neohapsys. « La virtualisation : où et quand ? » décrit en moins d’une page les principaux points névralgiques, une taxinomie des problèmes potentiels que l’on peut rencontrer dans une telle opération. Ainsi le manque d’attention que l’on peut porter aux serveurs-commodités (serveurs mail, DNS, back-office, ressources de fichiers …), qui disparaissent des listes de travaux d’entretien et de surveillance une fois qu’ils ont été « mis en boîte ». Ainsi encore la trop grande rapidité que l’on a à installer un serveur de virtualisation en mode « quick and dirty », sans que l’on ait eu la peine de durcir ledit serveur. Ainsi enfin les hiatus potentiels posés par les outils de développement, la quasi impossibilité sur certaines plateformes de poser des IDS ou des firewalls à l’intérieur du réseau virtuel reliant des serveurs tout aussi virtuels et hébergeant des applications métier qui exigent parfois certaine sécurité (l’auteur mentionne notamment des architectures contraintes par une homologation PCI-DSS).

Chiffrement : le porte-clef n’est pas en cadeau

Posté on 25 Nov 2009 at 6:10

PGP a commandé à l’institut Ponemon une enquête sur les tendances françaises en matière de chiffrement (inscription obligatoire). Un bilan tiré d’un panel d’un peu plus de 400 professionnels de la sécurité ou de l’informatique. Etude d’autant plus intéressante que les entreprises Françaises, contrairement à leurs voisines anglo-saxonnes, n’ont pas d’obligation légale de divulgation en cas de fuite ou de perte de données. Et, par conséquence, pas de statistiques fiables quant à l’ampleur des pertes réelles. C’est donc là une étude sur le « ressenti » des utilisateurs et administrateurs plus qu’un état des lieux, ressenti toutefois marqué par la nécessité de devoir répondre à certaines contraintes règlementaires Européennes ou internationales lorsque les personnes interrogées appartiennent à une grande entreprise tournée vers l’extérieur.

Qu’est-ce qui fait courir les partisans du chiffrement en France ? Tout d’abord quelques faits avérés. Telle que la disparition d’une moyenne de 733 portables chaque semaine dans la zone aéroportuaire de Charles de Gaulle. Ensuite les rumeurs d’une loi paneuropéenne souhaitée par l’EDPS (European Data Protection Supervisor). La Cnil surtout, qui représente pratiquement la seule instance liée à la gestion des fichiers nominatifs en France. La Loppsi ensuite, avec le spectre d’une chasse à tout ce qui pourrait entraîner ou être lié à une usurpation d’identité. Les autres motivations quittent le domaine du factuel et relèvent parfois du « on dit ». Ainsi, le cadre punitif d’Hadopi, techniquement dépassé au moment de son adoption, mais certes plus contraignant pour les entreprises qui doivent s’en protéger que pour les individus que cette loi prétend pourfendre. Les grandes affaires relayées par les médias également, telles que les vols de données de Deutsche Telekom et de l’administration fiscale britannique. Ce qui, au passage, fait dire au rapporteur du Ponemon « La France n’a, jusqu’à présent, pas connu de violation de données aussi sérieuses que celles-ci »… la France n’a strictement aucun outil de détection qui permette de connaître l’existence d’accidents semblables. Il serait bien étrange que, tels les nuages radioactifs, le vol de données se contente de faire pendre son linge sur la ligne Siegfried*.

Cette absence de contrainte de publication est d’ailleurs assez bien illustrée par les motivations d’usage du chiffrement :

– conformité : 65% des avis

– respect de la confidentialité : 55%

– protection de la marque et de l’image : 43%

– éradication des violations de données : 28%

– craintes liées à la notification de violation : 0%

Ce qu’en Berrichon l’on pourrait traduire par « faute inavouée n’est pas à pardonner ».

Que doit-on protéger et contre qui ?Là encore, quelques réalités et beaucoup de fantasmes. Interviewées sur le degré de gravité des causes de fuite d’information, les personnes interrogées évoquent en premier lieu l’indélicatesse d’un collaborateur, l’espionnage industriel, le manque de fiabilité des services « cloud computing » et de la virtualisation, les équipements mobiles… autant de causes qui sont généralement citées dans 50 à 60% des cas. Les troyens ne sont considérés comme grave que dans 22% des cas, score le plus faible. Or, un Zeus ou un Conficker fait plus de dégâts financiers immédiats qu’un fichier commercial dérobé par un technico-commercial sur le départ (lorsque ce fait est avéré). Mêmes craintes à propos des équipements mobiles –téléphones, portables-, de plus en plus susceptibles de comporter des informations confidentielles. Reste que si la crainte des « fuites mobiles » et « fuites Smartphones/PDA » (par perte ou par exfiltration) sont élevées, elles ne représentent aujourd’hui respectivement que 9 et 7% du chiffrement par secteur d’application. Les sauvegardes, quand à elles, sont déclarées chiffrées dans 22% des réponses.

Mais paradoxalement, alors que les motivations poussant au chiffrement sont parfois discutables ou relèvent de la crainte fantasmée, la conscience des difficultés techniques qu’entraîne une politique de chiffrement sérieuse est véritablement réelle. Surtout auprès des entreprises ayant eu à déplorer une moyenne de plus de 2 violations par an. A partir de cette limite, les stratégies partielles sont totalement abandonnées au profit d’une stratégie d’entreprise. L’étude du Ponemon insiste sur le fait que l’absence de divulgation des vols est un facteur important d’imprécision statistique. Mais une observation corollaire peut être tirée de cette tendance : plus une société parle de stratégie de chiffrement globale, plus on peut estimer qu’elle a déjà essuyé un certains nombre de revers du genre. D’autres écueils techniques sont évoqués par les personnes interrogées. A commencer par la complexité et surtout le prix des outils de gestion de clef. Cette gestion (reporting, déploiement, gestion du cycle de vie des clefs, activation des comptes, mise en œuvre…) pèse en moyenne 23 % du budget chiffrement. Des coûts qui, espèrent les répondants, seront amortis par la disparition des pertes elles-mêmes. Un prix et une complexité qui poussent d’ailleurs les principaux intéressés à opter plus majoritairement pour des solutions de chiffrement uniques, mono-fournisseur et s’étendant à toute la politique d’entreprise.

*NdlC, Note de la Correctrice : Paroles de Paul Misraki, interprété par Ray Ventura et son orchestre

Publicité

MORE_POSTS

Archives

novembre 2009
lun mar mer jeu ven sam dim
« Oct   Déc »
 1
2345678
9101112131415
16171819202122
23242526272829
30