Advertisement
Loading

L’effacement dans le Cloud

https://www.flickr.com/photos/82955120@N05/7995241708/in/photolist-dbvGNY-6fTmk7-sk48u3-kpEDx-dbvGB6-6EkWKb-783abJ-d2hkxG-8gszbW-6MUZEZ-pbJ4VJ-8ao5y-nNRJkR-4XkKBF-mWQaAC-bUJ5k9-oTzB7N-qbHQq1-6Xs2t2-aho8Af-9RZBty-74EY4b-acwDPr-2dErq-ihKQk-rtTL5P-gXQKYP-p6RHi6-pd83Hh-88HDaf-pMmQYn-J74zV-6D9Unt-2mUxij-bsyv8U-oKDRY4-bR2fiV-oGMU9J-raPFNE-nDfDSW-k6Su9-t2mAZm-eaPFis-dfcXVg-97d4Tx-o6SerG-2tUPjg-9Tvya9-dRDexP-djYoib

Dans le cadre des différents guides qu’elle édite sur la sécurité des systèmes d’information, l’ANSSI a récemment publié un appel à commentaires sur un Référentiel de Qualification des Prestataires de Services Sécurisés d’Informatique en Nuage (Cloud Computing).

Sans surprise, la problématique Cloud fut abordée sur le Forum FIC, et notamment en ce qui concerne la sécurité  des données de bout en bout. Oui, mais au-delà du bout ?

Une démarche étatique

Le document que l’ANSSI finalise est né d’un retour d’expérience industriel. On y trouve un ensemble d’exigences structuré sur le modèle de l’ISO 27002, visant à favoriser l’émergence et la promotion d’offres qualifiées, les prestataires disposant d’un cadre stable dans lequel s’inscrire pour aller vers la qualification et les usagers pouvant baser leur confiance sur cette qualification. Les problématiques traitées portent donc notamment sur le contrôle d’accès et la gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information. Malheureusement, les premières réactions sont plutôt négatives…

Si la démarche adoptée, classique et pragmatique, devait conduire à un document réaliste, il n’en fut rien car ce dernier s’avère justement bien trop consensuel. Deux groupes de travail, l’un dédié aux fournisseurs/usagers, l’autre aux certificateurs/auditeurs, se sont réunis plusieurs fois à tour de rôle sous l’égide de l’ANSSI. Les participants étaient, bien entendu, constructifs, mais les discussions ont finalement abouti à la construction d’un texte aseptisé de façon à recevoir l’accord du plus grand nombre. De part et d’autres, les critiques s’accumulent. Nous ne les reprendrons pas ici. L’objectif étant de proposer un référentiel utile, utilisable, et utilisé, reste à voir comment l’ANSSI redressera la barre avant la publication de la version finale du document.

Les autres initiatives

L’association Cloud Confidence propose un certificat du même nom. Comme celui de l’ANSSI, le référentiel de cette alternative est en cours de finalisation ; en outre, le second devrait recommander le respect du premier. Le certificat « cloud confidence » s’articule autour de trois collèges : offreurs de services de cloud computing, clients et prestataires de l’écosystème. Cloud Confidence ambitionne à terme un accord avec l’Allemagne pour étendre son certificat. D’ailleurs, le BSI (équivalent allemand de l’ANSSI), a lancé en 2013 une certification STAR dans le cadre de la CSA (Cloud Security Alliance). Et sur un plan véritablement international, il faut citer l’ISO 27017. De toutes ces initiatives, reste à savoir laquelle s’imposera. La clarté des labels et certificats sera un gage de crédibilité.

L’effacement dans le Cloud

Au-delà des problématiques évoquées ci-dessus (il est d’ailleurs intéressant de constater que le Cloud Computing n’est pas traité dans l’ISO 27002:2013, peutêtre tout juste effleuré au travers du chapitre « relations avec les fournisseurs »), il nous semble intéressant de développer une question plus ardue mais passionnante, celle de l’effacement. En effet l’effacement des données sensibles est un sujet omniprésent pour toutes les entreprises. Logiquement, il revient sur le devant de la scène dans le contexte Cloud. Tentons donc de conceptualiser l’aspect technique de la chose en partant de la situation générique… Un bon outil de supervision de sécurité se doit de pouvoir intervenir en amont pour surveiller et détecter puis en aval pour fournir tous les éléments nécessaires à la réponse.

Le Cloud Computing est « à la mode ». Chacun pense en être familier, et en connaître toutes les problématiques… D’une certaine manière, le « cloud » peut être considéré comme un moyen géographiquement indépendant pour la fourniture, l’usage et la distribution des ressources informatiques et services IT de manière dynamique, évolutive et virtualisée. Avec les réseaux appropriés, les « nuages » offrent un accès transparent aux applications et services pour répondre aux besoins informatiques de l’utilisateur.

Cloud et sécurité

Force est de constater que, si tout le monde en parle, de nombreuses entreprises hésitent encore à adopter des services Cloud, principalement pour des questions de sécurité. Dans le Cloud, le concept de sécurité basé sur l’emplacement n’existe plus. S’impose un nouveau modèle qui s’appuie sur des contrats de niveau de services, des normes vérifiables de sécurité, des systèmes de confidentialité et de protection de l’intégrité des données (chiffrement et signatures numériques). Toutefois, même s’il s’affranchit de la gestion de l’infrastructure, l’utilisateur conserve le contrôle et la propriété des données. D’ailleurs, les fournisseurs de services Cloud, eux, ignorent la teneur des données stockées, leur valeur, leur sensibilité.

Dans la pratique, les fournisseurs de services Cloud mettront en place des contrôles pour assurer un solide cloisonnement entre les données de leurs clients d’une part et leurs propres tâches administratives d’autre part. Mais quid de la réutilisation des supports de stockage ? C’est tout naturellement que des questions pratiques ou de rentabilité inciteront tant à occuper au maximum le volume de stockage disponible (équilibrer la place « achetée » et a place « vendue ») qu’à réutiliser un support libéré jusqu’à sa fin de vie matérielle (y compris dans le cas d’architectures redondantes).

Confidentialité a posteriori

Or la capacité à s’assurer de la destruction définitive de données sensibles est indispensable à une entreprise ayant des impératifs de confidentialité. Il devient impératif d’offrir la capacité d’effacer ou détruire les matériels « obsolètes » (au sens large) de manière à ne laisser aucune donnée fragmentaire pouvant fuir d’une manière ou d’une autre. Traitée au travers du prisme « Cloud », cette problématique est également « locale » ; le présent exposé pourra donc utilement être exploité dans le cas pratique d’un simple ordinateur isolé dans le bâtiment abritant une société. Quelles sont les solutions d’effacement de données optimales pouvant convenir à la fois aux fournisseurs et aux usagers du Cloud ? Idéalement, l’effacement des données considérées sensibles se doit d’être un processus aussi rapide et irréversible que possible au vu de la situation du matériel utilisé.

En conclusion… On l’aura deviné, la première chose à faire consiste à évaluer la sensibilité des données à stocker ainsi que le niveau de confiance accordé au fournisseur de Cloud. Ensuite, il reste à contractualiser des exigences spécifiques s’il y a lieu.

Destruction et effacement

Dans les cas où une politique de sécurité nécessite la destruction physique du support, les méthodes suivantes sont fortement conseillées : la démagnétisation, l’incinération, ou la pulvérisation du disque. Elles assurent la destruction physique définitive des données. Les procédures d’effacement doivent répondre à des critères de fiabilité et de vitesse d’exécution. Les méthodes d’effacement cryptographiques (destruction de la clé de chiffrement) sont les plus efficaces pour peu que leur implémentation soit correcte, cependant les techniques d’effacement traditionnelles telles que le Secure Erase et les passes de Guttman constituent une solution lente mais éprouvée pour les disques durs magnétiques.

Politique de sécurité en termes d’effacement

La politique de sécurité promue aux Etats-Unis par le NIST (National Institute of Standards and Technology) pourra utilement servir de base de réflexion. Elle définit trois niveaux d’effacement : − Nettoyage : un matériel nettoyé est réutilisable mais immunisé aux attaques logicielles ; l’utilisateur ne doit pas pouvoir récupérer de données quelle que soit l’application utilisée (une simple passe de surcharge d’écriture) ; − Purge : ce matériel doit être réutilisable mais résistant à tout type d’attaques, y compris celles effectuées dans des laboratoires à même le matériel (un effacement standard via par exemple la surcharge d’écritures du disque) ; − Destruction : le matériel doit être inutilisable et résistant à tout type d’attaques (une destruction physique des plateaux d’un disque ou démagnétisation).

Le mot de la fin…

Le Cloud, c’est la même chose mais en différent ! Y avoir recours impose avant tout de réfléchir aux tenants et aboutissants de l’implication distante d’un tiers en prenant en compte tout le cycle de vie des données mises en jeu.

Arnaud Lorgeron Arnaud Lorgeron - Sécurity PMO pour la Banque Privée
Après presque dix ans au Ministère de la Défense, il rejoint le secteur privé fin 2012 pour y mettre à profit son expertise SSI dans des projets civils et militaires. Trois ans…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Enjeux de l’authentification forte pour la sécurité du SI ?Enjeux de l’authentification forte pour la sécurité du SI ?La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications et aux données quelles que soient les situations de mobilité des collaborateurs.Découvrez le livre blanc

Ressources Informatiques

Comment répondre aux défis de la compromission d’identité ? La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès…
   RSA | 4 pages
Découvrez le livre blanc
Les enjeux de l’authentification forte pour la sécurité du SI La mobilité, la consumérisation et le BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès…
   RSA | 2 pages
Découvrez le livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
BYOD : Guide des meilleures pratiques en entreprise Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
Optimiser la consommation énergétique du data center La gestion et la supervision des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique…
   Top 5 Décideur IT | 4 pages
Découvrez votre livre blanc
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Loïc Duval Loïc Duval Spécialiste systèmes d'exploitation

Arnaud Lorgeron Arnaud Lorgeron Sécurity PMO pour la Banque Privée

Cédric Bravo Cédric Bravo Co-président du Guvirt

Vidéos Informatiques

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI