Le Cloud Computing (abrégé Cloud) est encore un concept assez nouveau, on ne sait pas toujours exactement ce que c’est, comment ça fonctionne et quels sont les risques associés à son utilisation. Ce manque de recul peut poser des problèmes, notamment au niveau de la sécurité informatique.

À la suite d’une demande d’un lecteur, je vais donc tenter d’expliquer un peu mieux le concept et son fonctionnement dans cet article. Nous irons au-delà des explications théoriques, et nous verrons quelques exemples pratiques.

Définition du Cloud computing (Informatique en nuage)

Le Cloud Computing, c’est d’abord un besoin venu des entreprises : comment réduire les coûts de l’infrastructure informatique ? Cela inclut les coûts d’achat du matériel, mais aussi de son entretien, de sa sécurité…etc. L’idée est donc d’utiliser des serveurs (et de façon plus générale des ressources) d’un autre prestataire, en libre-service, et à distance.

L’infrastructure informatique est donc décentralisée et rendue accessible peu importe l’endroit dans le monde. Le terme « Cloud » est ainsi né : nous accédons aux ressources informatiques comme si elles étaient placées dans les nuages (on ne les a pas à portée de main, mais on y accède facilement de partout).

Le Cloud est également dit « évolutif », c’est-à-dire que les ressources proposées par le prestataire peuvent être adaptées à la demande. Pour prendre l’exemple d’un service de marketing par e-mail, le service MailChimp propose des tarifs variables suivant le nombre d’e-mails que le client souhaite envoyer chaque mois :

exemple prix cloud

Les services Cloud

Le Cloud peut être vu comme une offre commerciale d’abonnement à un service. Cet abonnement peut prendre diverses formes, que l’on regroupe en 3 catégories principales :

IaaS (Infrastructure as a Service) : c’est le service dont nous avons fait référence au début de l’article, il s’agit de louer une infrastructure informatique sur laquelle on peut installer un système d’exploitation…etc. On dit que c’est un service « bas niveau » car plus proche des machines et des détails techniques que les autres services. On a donc plus de souplesse, mais plus d’éléments à gérer nous-mêmes. Exemple : Amazon EC2 qui propose de la location de serveurs.

PaaS (Platform as a Service) : cette fois, le fournisseur a déjà installé le système d’exploitation et les services de base sur sa machine. Et le client peut installer ses propres applications par-dessus. C’est le cas de l’hébergement web mutualisé où le prestataire vous loue un serveur (virtuel) et sur lequel vous pouvez y placer les fichiers de votre site web. Autre exemple : Offre SMS d’OVH qui propose un moyen aux clients d’envoyer et de recevoir des SMS.

SaaS (Software as a Service) : dans ce cas, les logiciels sont mis à disposition du client. Il existe beaucoup d’offres différentes, on peut y accéder soit via un navigateur soit et installant un logiciel sur son PC. Exemples : Les services VPN ou encore MailChimp, le service de marketing par e-mail dont nous avons parlé.

types services cloud computing

Les 3 grandes catégories de services Cloud, source : Wikipédia

Il existe une multitude d’autres services qui peuvent plus ou moins se placer dans les 3 catégories que nous venons de voir, voici deux exemples :

  • NaaS (Desktop as a Service) : location de services réseaux.
  • STaaS (Storage as a Service) : location d’espace de stockage (exemple : DropBox).
  • GaaS (Game as a Service) : location de l’infrastructure et de la configuration sous-jacente nécessaire au développement de jeux vidéos.

Les problèmes du Cloud

On a vu que le Cloud simplifie l’aspect technique et réduit les coûts, mais d’autres problèmes naissent de ce concept, notamment au niveau légal, mais aussi à d’autres niveaux, dont la sécurité, que nous allons voir.

Le Cloud et la légalité

Les entreprises fournissent des données personnelles, soit sur elles-mêmes, soit sur leurs clients, soit sur les deux. Il y a donc un besoin important de maîtriser ce qui est fait de ces données. Et un besoin de savoir quels sont les recours possibles en cas de problèmes.

Les garanties du Cloud

Une entreprise dont les ressources vitales sont hors service, est une entreprise qui risque la faillite. Il est donc important de bien comprendre le contrat au niveau des performances et de la disponibilité des ressources. On utilise notamment des contrats SLA (Service-Level Agreement) qui définissent le niveau de qualité de service qu’un prestataire se devra de suivre pour son client.

Le sécurité du Cloud

La sécurité du Cloud englobe les problèmes cités précédemment. Je vais donc surtout parler du côté technique. En sécurité informatique, on se base sur les 4 grands piliers qui sont les suivants : l’intégrité (une donnée doit rester la même durant un transfert), la confidentialité (les données chiffrées ne doivent pouvoir être lues que par les personnes autorisées à le faire), la disponibilité (un service doit répondre sur le réseau) et l’authenticité (reconnaître les utilisateurs).

Les données personnelles étant envoyées sur un serveur distant, il est important de bien s’assurer qu’elles ne puissent pas être lues et/ou recopiées sans autorisation. Et les données envoyées devraient être indéchiffrables pour toutes personnes non autorisées à les lire, prestataires y compris. La réputation du prestataire joue donc un rôle important.

À propos de la réputation, une norme de sécurité a été mise en place, il s’agit de la norme ISO 27017, plus au moins liée à la norme ISO 27001 qui contient 10 exigences principales à respecter pour obtenir une certification. Amazon a obtenu ces certifications (27017), ce qui montre un certain sérieux dans leur service.

La page Wikipedia qui parle du sujet de la Sécurité du Cloud est très informative et à jour, je vous la conseille donc pour obtenir davantage d’informations.

Les neuf principales menaces identifiées par la Cloud Security Alliance

Le Cloud Security Alliance (CSA) est une organisation à but non lucratif dont l’objectif est de promouvoir les bonnes pratiques pour assurer la sécurité lors de l’utilisation du Cloud Computing.

Voici les neuf principales menaces identifiées :

  1. Violation de données : une personne tierce risque d’accéder à des données d’une autre entité (par exemple si elles sont situées sur un même serveur).
  2. Perte de données : perdre des données peut être critique pour une entreprise, et surtout si aucune sauvegarde n’a été prévue.
  3. Détournement de compte : il s’agit des menaces liées autour des piratages de comptes (malwares, fraudes, phishing…etc).
  4. API non sécurisée : utiliser des API (Application Programming Interface) permet d’interagir facilement avec des services cloud, mais celles-ci doivent être sécurisées.
  5. Déni de service : il s’agit ici de rendre indisponible un serveur en le surchargeant de requêtes, ou en le faisant planter. L’infrastructure doit être suffisamment robuste pour contenir l’attaque.
  6. Utilisateur malveillant : un ancien employé ou un fournisseur pourrait se retourner contre vous si ses accès n’ont pas été restreints.
  7. Abus de service : il faut éviter l’abus du service Cloud en limitant notamment les requêtes ou les destinations de celles-ci.
  8. Mauvaise procédure : les contrats, la gestion des risques ou encore les niveaux de services sont à clarifier avant de passer à l’action.
  9. Problème liés aux technologies de partage : il s’agit notamment des problèmes techniques liés à l’infrastructure qui pourraient nuire au bon fonctionnement des services.

Source et plus d’informations : https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf

Vous pouvez également passer un certificat de connaissance autour de la sécurité du cloud via le lien suivant :

https://cloudsecurityalliance.org/education/ccsk/#_info-video1

Avantages peu connus du Cloud

Je tenais à préciser que l’utilisation du Cloud, lorsqu’un prestataire de confiance est choisi, peut être au contraire avantageuse. En effet, il vaut mieux laisser ses données à un prestataire qui sécurise correctement son infrastructure et qui a été certifié selon des normes de sécurité bien définies, plutôt que d’héberger ses données sur sa propre infrastructure mais dont la sécurité laisse à désirer.

« Il peut être plus sécurisé de placer ses données dans le Cloud que l'inverse »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Les conseils de la CNIL

La CNIL donne 7 conseils clés pour toute entreprise qui aimerait commencer avec le Cloud, les voici :

  1. Identifier clairement les données et les traitements qui passeront dans le cloud ;
  2. Définir ses propres exigences de sécurité technique et juridique ;
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ;
  4. Identifier le type de cloud pertinent pour le traitement envisagé ;
  5. Choisir un prestataire présentant des garanties suffisantes ;
  6. Revoir la politique de sécurité interne ;
  7. Surveiller les évolutions dans le temps.

Source et détails pour chaque étape : https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf et https://www.cnil.fr/fr/cloud-computing-les-7-etapes-cles-pour-garantir-la-confidentialite-des-donnees.

Et pour les particuliers ?

On a beaucoup parlé de services aux entreprises, mais parlons à présent du particulier, qui lui aussi peut bénéficier d’une multitude de services Cloud. On pense notamment aux services SaaS (ou plutôt STaaS) comme Dropbox, Mega ou encore Sync. Ces services permettent le stockage de fichiers sur des serveurs dans le Cloud. Les conseils donnés pour les entreprises s’appliquent également aux particuliers, vous pouvez notamment vérifier les certifications ISO 27001 reçues (ou non) par les prestataires que vous souhaitez utiliser. Exemple avec DropBox.

Faire bon usage du Cloud

L’idéal pour vos données personnelles est de les chiffrer sur votre ordinateur, puis de les envoyer sur Internet. Et inversement, vous les récupérez systématiquement de façon chiffrée puis vous les déchiffrez sur votre ordinateur. Pour ce faire, vous pouvez utiliser des logiciels comme AXCrypt.

Et pour une intégration directe avec les services de stockage en ligne comme DropBox, vous avez la possibilité d’utiliser un autre service appelé BoxCryptor. Ce dernier vous permet de chiffrer automatiquement vos fichiers sur votre ordinateur avant de les envoyer. De ce fait, même si DropBox était piraté ou corrompu, les données seraient toujours chiffrées.

Seulement, il est bon de noter que BoxCryptor est lui aussi un service de Cloud computing, qui enregistre également nos données. Les données qu’il enregistre sont détaillées à l’adresse suivante. BoxCryptor précise qu’ils n’ont « aucune connaissance » du contenu stocké car celui-ci est entièrement chiffré. Cela semble correct, si l’on fait confiance à ce qui est écrit, et à l’entreprise. C’est à vous de décider ensuite.

Je recommanderai tout de même aux paranoïaques de ne simplement jamais mettre sur Internet des fichiers très sensibles. C’est en effet un très bon moyen d’éviter des soucis !

De façon générale, le Cloud possède beaucoup d’avantages, et si vous suivez les conseils et les bonnes pratiques issus de cet article et des liens cités, vous devriez vous en sortir sans problèmes.

Articles similaires

24 Commentaires
Cliquez ici pour ajouter un commentaire

  • merci Michel 😉

    Répondre
  • Très bon article!

    Répondre
    • Merci à toi Lucien

      Répondre
      • bonjour michel . j’ai proposer que tu face un sujet sûr les attaques 51%
        merci beaucoup pour la réponse . je suis parfaitement d’accord avec toi .
        sans une certaines connaissance pas facile dans parler .

        donc voilà ici ce que moi j’en sait . bien sûr cela reste de la théorie .
        car en pratique pour parler de comment les hackers utilise l’attaques . 51%
        c’est une autre paire de manche . une très bonne connaissance dû fonctionnement
        des blockchains doit être connu . ainsi que la puissance de calcul nécessaire.

        donc en théorie voilà à quoi peut servir l’attaque pour un hacker.
        si pour le hacker l’attaque est positive . pour la cryptomonnaie qui en est victime les
        conséquences sont dramatiques. entre autres l’actif perd sa valeur sa réputation est compromise.

        et les investisseurs perdent confiance. ils ne s’en serviront plus pour réaliser leurs transactions.
        en conséquence la perte de valeur s’accentue d’avantage.

        une autre conséquence c’est que le hacker peut réaliser des attaques doublées.
        pour ce faire il modifie l’historique de la blockchain.

        il ne faut pas oublier qu’il dispose de la puissance de calcul nécessaire.
        et qu’il a la majorité des parts du réseau.

        en changeant l’historique de la blockchain. le hacker peut récupérer les pièces
        qu’il a dépensées et les réinvestir à nouveau dans le réseau .

        il y a une situation qui est encore plus grave.
        une attaque 51% donne la possibilité à son auteur de réaliser une attaque DOS.

        qui lui permettra de rendre hors service tout le réseau.
        ainsi il affecte le système économique et provoque des pertes considérables
        pour les autres mineurs.

        voilà pour la petite info . pour parler de l’attaque 51% avec un peu plus de détail
        il faudrait que je face des recherche bien pousser sûr le sujet.

        si j’ai d’autre info . je ne fait un plaisir de partager cela avec toi .
        ainsi que avec les gens que cela intéresse . sûr ceux très bonne journée à toi michel .
        et encore merci pour ta réponse .

        Répondre
  • salut, c’est le neuneu de service 😉

    bon, j’ai téléchargé BoxCrypt en version gratuite pour Windows 10,activer le cryptage pour OneDrive où sont mes docs de travail. Est-ce que ça veut dire que les fichiers stockés sur le cloud OneDrive sont automatiquement cryptés lors de la synchronisation ?

    Et que je dois aussi télécharger BoxCrypt su mon PC portable pour les utiliser ?

    Merci !

    Woody

    Répondre
    • Salut Woody,
      Oui les données chiffrées sont synchronisées avec le cloud OneDrive. En somme, elles sont en clair sur le PC, puis chiffrées sur le PC toujours et ensuite envoyées sur le cloud de façon chiffrée.
      Pour synchroniser les fichiers depuis plusieurs PC il faut effectivement installer plusieurs versions de BoxyCryptor 🙂

      Répondre
      • Merci Michel, entre temps, oui, j’ai bidouillé et téléchargé sur Android, et effectivement c’est synchro.

        En revanche il y a un truc que je ne pige pas sur Win10 : dans le répertoire BoxCrypt, mon dossier Word2017 apparaît deux fois, une fois Word2017 et une fois Word2017_encrypted.

        Seulement, seul le dossier encrypted est accessible « en clair ». Quand je clique sur Word2017, j’ai un message « accès refusé ».

        Si je comprends bien, le cryptage ne porte en fait que sur les données stockées sur le cloud OneDrive, pas sur ce qui est dans le dossier Word 2017 de mon PC. Je ne suis pas en train de protéger mon PC ou ce dossier, mais uniquement les données qu’il contient et que je stocke sur OneCloud. J’ai bon ? 😉

        Merci et bonne nuit

        Woody

        Répondre
        • Oui, sans pour autant en être sûr, je pense que c’est bien cela. De mémoire BoxCryptor permet également de chiffrer les noms de fichiers et dossiers, mais il faut sans doute passer à la version payante dans ce cas 🙂 À bientôt !

          Répondre
  • Bonjour Michel, en tous cas fichiers cryptés (marqués comme tels dans mon répertoire) sont exploitables en toute transparence par les destinataires extérieurs.

    Sinon, tu connais Crashplan ?
    https://www.crashplan.com/en-us/

    A plus !

    Répondre
  • Je viens de me rendre compte que mon fichier Onedrive étant à présent virtualisé et déplacé dans le répertoire BoxCrypt, il n’est plus sauvegardé automatiquement sur un DD externe avec la fonction proposée par Win10 (Paramètres > Mise à jour et Sécurité > Sauvegarde). Jusqu’à preuve du contraire !

    Woody

    Répondre
  • drôle de retour d’expérience avec BoxCryptor …. Hier le PC me demande de redémarrer et là, plus de OneDrive, mes fichiers cryptés dans Dropbox ! Les clics droits de BoxCryptor ne fonctionnaient plus, mes fichiers cryptés, bref, le chaos !

    Ayant copié mes fichiers récents sur une clé, je n’ai pas eu de souci. J’ai désinstallé BoxCryptor sur le PC et le téléphone, reconfiguré OneDrive.

    Comme j’ai le cloud de SFR (100 Go), j’hésite à réinstaller BoxCryptor , d’autant que je ne gère pas des données confidentielles. 😉

    J’ai demandé à SFR quelle technologie est utilisé pour sécuriser son cloud, et s’il y a une différence sur ce point entre les comptes perso et les comptes PME.

    A suivre,

    bonne soirée

    Woody

    Répondre
  • Bonjour,
    Très bon article qui quelque part est là pour être plus confiant, mais personnellement j’ai toujours un peur de la violation de mes données. Je suis moi même dans le milieu du web en formation web bordeaux mais peut-être suis-je encore un peu trop parano^^
    Bonne continuation et merci pour votre partage d’informations.

    Répondre
  • salut tout le monde,

    je viens d’installer AxCrypt et je me pose la question suivante : est-il possible de crypter mon dossier Oneword où se trouvent mes documents de travail, sachant que je les envoie à mes clients sous forme évidemment non cryptée.

    En même temps, en quoi est-ce utile de crypter des documents à durée de vie éphémère et non confidentiels ? 😉

    Je vais me contenter de crypter les dossiers contenant des docs persos.

    Bonne soirée à tous

    Hervé

    Répondre
  • […] type de sauvegarde se fait notamment avec le Cloud : on y place nos fichiers, et on y accède quand on veut, comme on […]

    Répondre
  • Merci Michel pour votre article !

    Répondre
  • Merci pour les informations ca ma bien aidé pour ma formation web bordeaux a récuperer les données de mon site

    Répondre
  • Roxanne Alexander
    1 mai 2019 10 h 55 min

    Merci pour cet article détaillé et soigné. Le cloud computing est en effet un sujet complexe à comprendre, mais vous en avez expliqué à merveille les différentes facettes. Mention spéciale à l’identification des menaces liées au cloud computing, qui s’avérera très utile.

    Répondre
  • salut michel très très bon sujet que le cloud. bien que pas facile de comprendre pour certaines personnes.
    bien que très bien expliquer de ta part. donc ici un petit conseil utile pour les gens qui souhaite

    lancer leurs petite entreprise. voir même ceux que cela intéresse.

    voici sept questions à poser à votre fournisseur de cloud computing.

    où et combien de temps sont conservées nos données ?
    la localisation des données est importante car certaines réglementations exigent que vous stockiez
    les données des clients dans le pays ou uniquement dans des pays spécifiques.

    vous devez également être en mesure de déterminer la durée de conservation de vos données
    et de les supprimer après utilisation.

    la propriété des données change-t-elle ?

    assurez-vous de conserver le droit de propriété sur vos données par le biais d’accords écrits.
    certains fournisseurs de cloud cherchent à conserver la propriété des données pour inciter les clients

    à rester.

    comment puis-je gérer mes services et données cloud ?

    vérifiez si vous pouvez visualiser et contrôler votre utilisation du cloud et définir des contrôles
    administratifs pour limiter le partage des données. demandez s’il existe un portail de services sur le cloud
    et quelles sont ses caractéristiques.

    quelles fonctions de sécurité des données proposez-vous ?

    le chiffrement des données. la détection d’intrusion. les pare-feux. et la sécurité physique des
    datacenters sont des caractéristiques de sécurité que les fournisseurs de cloud computing
    doivent fournir. confirmez si ces frais sont inclus dans vos frais ou si vous devrez payer un supplément.

    à quelle fréquence sauvegardez vous les données ?

    votre fournisseur de cloud computing devrait prendre des mesures telles que la sauvegarde pour
    prévenir la perte de données et assurer la disponibilité de ces dernières même en cas d’incident
    ou de cyberattaque. demandez s’ils ont une assurance et s’ils vous indemniseront pour une perte de données
    si ce n’est pas de votre faute.

    quels contrats de niveau de services sla proposez-vous ?

    assurez -vous de signer un sla avec votre fournisseur de services où sont indiqués les options de
    support client. le temps de disponibilité du serveur. le temps de réponse aux requêtes etc.

    de quelles certifications de l’industrie disposez-vous ?

    demandez si le fournisseur est certifié soc2 soc3 et iso/ cei 27001. renseigner-vous sur les mesures
    qu’il a prises pour se conformer au rgpd de plus demandez les règlements propres à votre secteur
    d’activité tels que pci-dss. paiements ou hipaa soins de santé qui concernent votre entreprise.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu