Loading

L’effacement dans le Cloud

https://www.flickr.com/photos/82955120@N05/7995241708/in/photolist-dbvGNY-6fTmk7-sk48u3-kpEDx-dbvGB6-6EkWKb-783abJ-d2hkxG-8gszbW-6MUZEZ-pbJ4VJ-8ao5y-nNRJkR-4XkKBF-mWQaAC-bUJ5k9-oTzB7N-qbHQq1-6Xs2t2-aho8Af-9RZBty-74EY4b-acwDPr-2dErq-ihKQk-rtTL5P-gXQKYP-p6RHi6-pd83Hh-88HDaf-pMmQYn-J74zV-6D9Unt-2mUxij-bsyv8U-oKDRY4-bR2fiV-oGMU9J-raPFNE-nDfDSW-k6Su9-t2mAZm-eaPFis-dfcXVg-97d4Tx-o6SerG-2tUPjg-9Tvya9-dRDexP-djYoib

Dans le cadre des différents guides qu’elle édite sur la sécurité des systèmes d’information, l’ANSSI a récemment publié un appel à commentaires sur un Référentiel de Qualification des Prestataires de Services Sécurisés d’Informatique en Nuage (Cloud Computing).

Sans surprise, la problématique Cloud fut abordée sur le Forum FIC, et notamment en ce qui concerne la sécurité  des données de bout en bout. Oui, mais au-delà du bout ?

Une démarche étatique

Le document que l’ANSSI finalise est né d’un retour d’expérience industriel. On y trouve un ensemble d’exigences structuré sur le modèle de l’ISO 27002, visant à favoriser l’émergence et la promotion d’offres qualifiées, les prestataires disposant d’un cadre stable dans lequel s’inscrire pour aller vers la qualification et les usagers pouvant baser leur confiance sur cette qualification. Les problématiques traitées portent donc notamment sur le contrôle d’accès et la gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information. Malheureusement, les premières réactions sont plutôt négatives…

Si la démarche adoptée, classique et pragmatique, devait conduire à un document réaliste, il n’en fut rien car ce dernier s’avère justement bien trop consensuel. Deux groupes de travail, l’un dédié aux fournisseurs/usagers, l’autre aux certificateurs/auditeurs, se sont réunis plusieurs fois à tour de rôle sous l’égide de l’ANSSI. Les participants étaient, bien entendu, constructifs, mais les discussions ont finalement abouti à la construction d’un texte aseptisé de façon à recevoir l’accord du plus grand nombre. De part et d’autres, les critiques s’accumulent. Nous ne les reprendrons pas ici. L’objectif étant de proposer un référentiel utile, utilisable, et utilisé, reste à voir comment l’ANSSI redressera la barre avant la publication de la version finale du document.

Les autres initiatives

L’association Cloud Confidence propose un certificat du même nom. Comme celui de l’ANSSI, le référentiel de cette alternative est en cours de finalisation ; en outre, le second devrait recommander le respect du premier. Le certificat « cloud confidence » s’articule autour de trois collèges : offreurs de services de cloud computing, clients et prestataires de l’écosystème. Cloud Confidence ambitionne à terme un accord avec l’Allemagne pour étendre son certificat. D’ailleurs, le BSI (équivalent allemand de l’ANSSI), a lancé en 2013 une certification STAR dans le cadre de la CSA (Cloud Security Alliance). Et sur un plan véritablement international, il faut citer l’ISO 27017. De toutes ces initiatives, reste à savoir laquelle s’imposera. La clarté des labels et certificats sera un gage de crédibilité.

L’effacement dans le Cloud

Au-delà des problématiques évoquées ci-dessus (il est d’ailleurs intéressant de constater que le Cloud Computing n’est pas traité dans l’ISO 27002:2013, peutêtre tout juste effleuré au travers du chapitre « relations avec les fournisseurs »), il nous semble intéressant de développer une question plus ardue mais passionnante, celle de l’effacement. En effet l’effacement des données sensibles est un sujet omniprésent pour toutes les entreprises. Logiquement, il revient sur le devant de la scène dans le contexte Cloud. Tentons donc de conceptualiser l’aspect technique de la chose en partant de la situation générique… Un bon outil de supervision de sécurité se doit de pouvoir intervenir en amont pour surveiller et détecter puis en aval pour fournir tous les éléments nécessaires à la réponse.

Le Cloud Computing est « à la mode ». Chacun pense en être familier, et en connaître toutes les problématiques… D’une certaine manière, le « cloud » peut être considéré comme un moyen géographiquement indépendant pour la fourniture, l’usage et la distribution des ressources informatiques et services IT de manière dynamique, évolutive et virtualisée. Avec les réseaux appropriés, les « nuages » offrent un accès transparent aux applications et services pour répondre aux besoins informatiques de l’utilisateur.

Cloud et sécurité

Force est de constater que, si tout le monde en parle, de nombreuses entreprises hésitent encore à adopter des services Cloud, principalement pour des questions de sécurité. Dans le Cloud, le concept de sécurité basé sur l’emplacement n’existe plus. S’impose un nouveau modèle qui s’appuie sur des contrats de niveau de services, des normes vérifiables de sécurité, des systèmes de confidentialité et de protection de l’intégrité des données (chiffrement et signatures numériques). Toutefois, même s’il s’affranchit de la gestion de l’infrastructure, l’utilisateur conserve le contrôle et la propriété des données. D’ailleurs, les fournisseurs de services Cloud, eux, ignorent la teneur des données stockées, leur valeur, leur sensibilité.

Dans la pratique, les fournisseurs de services Cloud mettront en place des contrôles pour assurer un solide cloisonnement entre les données de leurs clients d’une part et leurs propres tâches administratives d’autre part. Mais quid de la réutilisation des supports de stockage ? C’est tout naturellement que des questions pratiques ou de rentabilité inciteront tant à occuper au maximum le volume de stockage disponible (équilibrer la place « achetée » et a place « vendue ») qu’à réutiliser un support libéré jusqu’à sa fin de vie matérielle (y compris dans le cas d’architectures redondantes).

Confidentialité a posteriori

Or la capacité à s’assurer de la destruction définitive de données sensibles est indispensable à une entreprise ayant des impératifs de confidentialité. Il devient impératif d’offrir la capacité d’effacer ou détruire les matériels « obsolètes » (au sens large) de manière à ne laisser aucune donnée fragmentaire pouvant fuir d’une manière ou d’une autre. Traitée au travers du prisme « Cloud », cette problématique est également « locale » ; le présent exposé pourra donc utilement être exploité dans le cas pratique d’un simple ordinateur isolé dans le bâtiment abritant une société. Quelles sont les solutions d’effacement de données optimales pouvant convenir à la fois aux fournisseurs et aux usagers du Cloud ? Idéalement, l’effacement des données considérées sensibles se doit d’être un processus aussi rapide et irréversible que possible au vu de la situation du matériel utilisé.

En conclusion… On l’aura deviné, la première chose à faire consiste à évaluer la sensibilité des données à stocker ainsi que le niveau de confiance accordé au fournisseur de Cloud. Ensuite, il reste à contractualiser des exigences spécifiques s’il y a lieu.

Destruction et effacement

Dans les cas où une politique de sécurité nécessite la destruction physique du support, les méthodes suivantes sont fortement conseillées : la démagnétisation, l’incinération, ou la pulvérisation du disque. Elles assurent la destruction physique définitive des données. Les procédures d’effacement doivent répondre à des critères de fiabilité et de vitesse d’exécution. Les méthodes d’effacement cryptographiques (destruction de la clé de chiffrement) sont les plus efficaces pour peu que leur implémentation soit correcte, cependant les techniques d’effacement traditionnelles telles que le Secure Erase et les passes de Guttman constituent une solution lente mais éprouvée pour les disques durs magnétiques.

Politique de sécurité en termes d’effacement

La politique de sécurité promue aux Etats-Unis par le NIST (National Institute of Standards and Technology) pourra utilement servir de base de réflexion. Elle définit trois niveaux d’effacement : − Nettoyage : un matériel nettoyé est réutilisable mais immunisé aux attaques logicielles ; l’utilisateur ne doit pas pouvoir récupérer de données quelle que soit l’application utilisée (une simple passe de surcharge d’écriture) ; − Purge : ce matériel doit être réutilisable mais résistant à tout type d’attaques, y compris celles effectuées dans des laboratoires à même le matériel (un effacement standard via par exemple la surcharge d’écritures du disque) ; − Destruction : le matériel doit être inutilisable et résistant à tout type d’attaques (une destruction physique des plateaux d’un disque ou démagnétisation).

Le mot de la fin…

Le Cloud, c’est la même chose mais en différent ! Y avoir recours impose avant tout de réfléchir aux tenants et aboutissants de l’implication distante d’un tiers en prenant en compte tout le cycle de vie des données mises en jeu.

Arnaud Lorgeron Arnaud Lorgeron - Chargé de la sécurité des véhicules connectés
Après presque dix ans au Ministère de la Défense, il rejoint le secteur privé fin 2012 pour y mettre à profit son expertise SSI dans des projets civils et militaires. Trois ans…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Guide de Sécurité Byod, Mobile et Cloud en EntrepriseGuide de Sécurité Byod, Mobile et Cloud en EntrepriseCloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité ainsi que la multiplicité des attaques sur tous les environnements ont rendu encore plus complexe la protection des systèmes et des données...Découvrez les bonnes pratiques de Sécurité

Ressources Informatiques

1er Guide de sécurité Byod, Mobile et Cloud en entreprise Cloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité…
   Smart DSI | 4 pages
Découvrez les 5 meilleures pratiques en entreprise
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
Rapport IDC sur la gestion de Cloud hybride Dans un environnement informatique hybride complexe, la gestion des opérations peut nécessiter l'utilisation de plusieurs outils de gestion et la mise…
   IDC - Red Hat | 8 pages
Découvrez le Guide IDC
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
5 étapes pour optimiser la gestion d’énergie des infrastructures IT La gestion et la supervision des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique…
   Top 5 Décideur IT | 4 pages
Découvrez votre livre blanc
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Tristan Karache Tristan Karache Journaliste informatique

Arnaud Lorgeron Arnaud Lorgeron Chargé de la sécurité des véhicules connectés

Nicolas Milbrand Nicolas Milbrand Consultant Microsoft indépendant

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI