La sécurité du Cloud, un défi aux multiples facettes

Le Cloud Computing n’est finalement qu’une option d’externalisation supplémentaire. De ce fait, il induit de nombreuses questions quant à la sécurité et aux responsabilités. Avec, pour certains, la conviction que sa sécurité est impossible à garantir. La culture du risque va devoir se développer. Enfin.

Que l’on parle infrastructure en mode service (IaaS), plateforme (PaaS) ou encore applications (SaaS), le Cloud amène les divisions IT sur des terres inconnues. Il induit une division des tâches que connaissent beaucoup d’industries mais dont seules les entreprises déjà largement ouvertes à l’externalisation sont finalement familières. Les questions soulevées leurs paraîtront bien connue : qui est responsable de quoi ? pour quels aspects de la sécurité des données et des applications ? Des points qui méritent d’être examinés de près et contractualisés. 

Mais se pose aussi la question de savoir qui peut accéder aux données de l’entreprise, comme Microsoft l’a si bien illustré cet été en précisant ses obligations par rapport au Patriot Act américain. En fait, on doit pouvoir résumer la question de la sécurité du Cloud à une équation à quatre variables : la technologie et les contrôles de sécurité; les contraintes légales et contractuelles; le modèle de déploiement et la répartition des tâches; et enfin les processus d’achat et d’assurance. Des variables qui changent chacune en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du mode de déploiement - public ou privé.

Bref, comme le résumerait Michael Pauly, consultant chez T-Systems, «les clouds ne naissent pas égaux.» Surtout, alors que pour certains garantir la sécurité dans le Cloud relève de la gageure, c’est peut-être plus que jamais de risque et d’équilibre entre risque et impératifs métiers qu’il faut penser : «il n’y a pas de réponse toute faite à apporter,» estime Michael Pauly. «C’est à l’entreprise de placer ses curseurs au bon endroit. Mais encore faut-il que ses fournisseurs lui permettent d’évaluer la sécurité de leurs offres.» 

Un point toujours délicat mais sur lequel la Cloud Security Alliance travaille activement. Toutefois, pour beaucoup, si la question de la sécurité du Cloud fait largement débat - quand elle ne freine pas son développement - elle aura, in fine, un impact largement positif. La plupart des PME devraient pouvoir profiter d’une meilleure sécurité avec le Cloud qu’avec leurs systèmes internes. Et, pour Michael Pauly, au moins, «elles pourront se reposer sur de solides accords de niveau de service. Ce qu’elles n’ont pas forcément en interne...»

Reste que ce n’est pas parce que les fournisseurs Cloud font d’importants efforts - la sécurité est à l’évidence une question critique pour eux - que leurs clients ne doivent pas en faire, de leur côté. Volkmar Lutz, directeur de la practice sécurité de SAP Research, relève ainsi que «80 % des vulnérabilités actuelles sont liées aux configurations.»

Surtout, le Cloud induit un changement dans l’approche des questions de sécurité : «il faut passer du contrôle des accès au contrôle des usages et approcher la sécurité sous l’angle d’un cycle de vie. Cela veut dire que les règles de sécurité doivent être étroitement liées aux données, par la cryptographie.» Un point qui, toutefois, n’en est encore qu’au stade de la recherche pour les échanges de données entre plateformes différentes.

Un registre pour améliorer la transparence des services Cloud

Début août, la Cloud Security Alliance a présenté ses projets pour faciliter la transparence dans le nuage, via un registre en ligne où les fournisseurs de services peuvent détailler leur conformité avec les pratiques de référence de la CSA. Prévu pour être mis en ligne d’ici la fin de l’année, le registre Star (Security, Trust and Assurance Registry) sera gratuit, accessible au public et ouvert aux recherches. Il est conçu pour aider les clients de services Cloud à vérifier les pratiques de sécurité de leurs fournisseurs. Ou du moins de ceux qui accepteront de participer à l’initiative.Star fournira également une liste des fournisseurs de briques technologiques ayant accepté d’intégrer des composants de la pile GRC (gouvernement, gestion du risque et conformité) de la CSA.

Pour commencer, la CSA a demandé aux fournisseurs de renseigner eux-même ses éléments d’informations , le Cloud Controls Matrix (CMM) ou le Consensus Assessments Initiative Questionnaire (CAIQ), indique Phil Agcaoili, membre fondateur de la CSA et co-fondateur du Star, ainsi que co-président de son comité. CMM et CAIQ sont des composants de la pile GRC de la CSA. «Plusieurs fournisseurs de services Cloud, parmi les plus connus, ont déjà adopté cette démarche d’eux-mêmes, dans le cadre de leurs initiatives de différenciation, et ont souhaité la création d’un registre central pour permettre aux clients et au fournisseurs de simplifier leurs processus de vérification,» explique Phil Agcaoili. «Nous pensons qu’un service gratuit comme celui-ci monte que la transparence et de l’auto-régulation sont ce dont a besoin l’industrie du Cloud alors que ce marché murit,» ajoute-t-il.

«Franchement, avec toutes les obligations réglementaires existante, la CSA approche avec circonspection la création et la gestion d’une certification pour les fournisseurs. Pour le moment. Nous pensons que ce niveau d’auto-attestation est approprié et va effectivement réduire le nombre de demandes d’audits uniques auxquels doivent répondre les fournisseurs de services. Au final, avec le temps, cela réduire le poids de la conformité.»

Jim Reavis, co-fondateur et directeur exécutif de la CSA, a récemment écrit au sujet de la complexité de la certification de la sécurité des fournsiseurs de services Cloud. Et alors que le Cloud Computing est si dynamique, la CSA veut laisser aux fournisseurs de services choisir le niveau de contrôle de sécurité approprié à leur marché, explique Agcaili. «Si un nombre suffisant d’organisation participe, ce sera un élément très fort que la CSA pourra utiliser dans le cadre de ses échanges avec les gouvernements du monde entier souhaitant réguler le Cloud.»

La CSA est par ailleurs impliquée dans plusieurs projets tiers d’évaluation, de standardisation et de certification, dont le Common Assurance Maturity Model (CAMM) : «nous pensons que Star fournit une étape intermédiaire pour l’industrie en attendant que ces projets aient abouti,» explique Agcaoili. Adapté de l’anglais par la rédaction.

Le doute pousse l’initiative Cloud du gouvernement US vers le Cloud privé

Poussées à passer au Cloud Computing par la bureau américain du budget, malgré de fortes réserves sur la protection des données sensibles, de nombreux responsables d’agences gouvernementales optent pour le Cloud privé, qu’ils considèrent comme plus sûr que les environnements Cloud publics. Au Census Bureau, par exemple, la direction concentre 90 % de ses effets Cloud sur la création d’un nuage interne privé qui sera hébergé par le centre de calcul de l’administration à Bowie, dans Maryland, explique son DSI, Avi Bender.

«Nous travaillons avant beaucoup de données privées protégées par la loi, et notamment toutes les informations collectées dans le cadre de nos enquêtes, mais des données de IRS - le fisc américain - donc nous devons faire attention en matière de contrôle et de sécurité de ces données,» indique-t-il. «Franchement, pour le moment, certains aspects du Cloud sont totalement rédhibitoires pour nous de ce point de vue-là.»

Bender explique que la question de la sécurité des données est si importante pour son agence qu’il ne peut pas se permettre une seule erreur. «Une seule faille touchant aux données d’un contribuable et nous sommes en très mauvaise posture.»

Le cloud privé, souvent le premier pas

En raison de l’initiative de l’administration Obama en faveur du Cloud Computing, les agences gouvernementales américaines doivent faire face à la pression du bureau du budget pour migrer plus de services et d’applications dans le nuage - de préférence, des services commerciaux - autant que possible. L’an passé, dans son plan de réforme de la gestion de l’IT fédérale américaine, le DSI du gouvernement Vivek Kundra a ordonné aux DSI des agences fédérales d’identifier au moins trois services à migrer impérativement dans le Cloud.

Au moins l’un des trois doit avoir migré dans les 12 mois; les deux autres ont 18 mois pour faire la bascule. «Lors de l’évaluation des options pour de nouveaux déploiements, le bureau du budget demande aux agences de préférer, par défaut, l’option du Cloud, à chaque fois qu’une option sûre, fiable et rentable existe,» détaille le plan. Jusqu’ici, 25 agences ont identifié 78 systèmes à faire migrer.

Shawn P. McCarthy, directeur de recherche chez IDC, estime que 80 % des migrations Cloud du gouvernement se feront vers des nuages privés - interne ou externalisés. «Quand on parle de cloud privé, bien souvent, il s’agit d’une infrastructure infogérée ou hébergée dans un centre ouvert au public. Mais fonctionnant sur des systèmes dédiés exploités par un prestataire approuvé par le gouvernement et avec des accords de niveau de service spécifiques,» précise-t-il.

Lorsque des informations non sensibles sont concernées - comme celles présentées sur les portails Web de l’administration - les agences sont plus ouvertes au Cloud public. l’AWS GovCloud d’Amazon, par exemple, a été lancé lors de l’IT Summit de la Nasa en août. «Nous sommes très enthousiastes de pouvoir travailler avec le secteur privé,» a indiqué alors Tsengdar Lee, directeur technique en charge de l’IT de la Nasa. Tout en précisant : «en même temps, nous approchons cela avec prudence.» En effet, environ 60 % des projets de migration Cloud de la Nasa seront hébergés dans son Cloud privé, Nebula, explique Lee. «Nous avons sommes questions de sécurité que les offres de Cloud public ne nous permettaient pas de régler.» Adapté de l'anglais par la rédaction.

Technologies du Cloud : l’heure de la transformation

Si vous aviez besoin de confirmations supplémentaires sur l’importance qu’a pris le Cloud, il n’était pas nécessaire de regarder bien au-delà de l’édition 2011 de la RSA Conference. Celle-ci intégrait une série d’atelier et de conférences dédiée à la question de la sécurité du Cloud Computing. En outre, la Cloud Security Alliance (CSA) a tenu un sommet d’une demi-journée juste avant que n’ouvre la conférence. Et celui-ci attiré quatre fois plus de visiteurs qu’en 2010. Cela ne fait plus aucun doute : le Cloud Computing est désormais très loin d’une mode passagère.

Jim Reavis, co-fondateur et directeur exécutif de la CSA, n’a pas manqué de souligner qu’il entend parler de nombreux pilotes Cloud réussis et de projets intégrant le Cloud pour les 12 prochains mois. Les opérations de fusion et acquisitions accélèreraient même le mouvement, selon lui. Les DSI de grandes entreprises lui indiquent regarder du côté du Cloud pour répondre aux nouveaux besoins générés par les acquisitions ou la filialisation/cession d’une division. Les professionnels de la sécurité, toutefois, restent très inquiets des défis de conformité et de sécurité soulevés par le Cloud Computing.

Selon un sondage TechTarget Security Media Group, 61 % des DSI - sur 1091 sondés - évoquent en priorité la conformité et l’auditabilité en première position de leurs préoccupations pour le Cloud Computing. 68 % d’inquiètent de la question de la sécurité et du chiffrement des données; 45 % sont préoccupés par la gestion et le contrôle des accès. La transparence continue manifestement d’être un vrai problème avec les fournisseurs de services Cloud.

Un participant au sondage - DSI d’une assurance - explique que les fournisseurs font obstacle aux demandes des clients relatives à leurs contrôles de sécurité. Et que le chiffrement dans le Cloud est un problème complexe. Les groupes tels que la CSA travaillent à résoudre ces problèmes mais Reavis reconnaît que la recherche de la CSA n’est aussi fouillée qu’elle devra finir par l’être. La CSA progresse, dit-il, mais l’adoption rapide du Cloud, poussée par le contexte économique mondial, lui rend la tâche difficile. Les fournisseurs, bien sûr, jouent leur partition. Ils saisissent l’opportunité du Cloud pour ajouter le terme Cloud à leurs solutions. Une surenchère considérable qui nuit à la résolution des vrais problèmes.

Toutefois, certaines technologies intéressantes font leur apparition malgré le bruit de fond ambiant. CloudPassage, par exemple, propose des services de pare-feu et de gestion des vulnérabilités serveurs; des services conçus spécifiquement pour les environnements Cloud. Son Pdg, Carson Sweet, explique que la technologie permet de contrôler le problème de la gestion de sécurité de serveurs dans un environnement Cloud, là où les machines virtuelles sont rapidement créées par clonage.

La plateforme de CloudPassage, qui s’appuie sur un logiciel résident fonctionnant en tâche de fond, le démon Halo, et une grille de calcul distribué, le Halo Grid, chargée d’analyser les données collectées par le démon, travaille à sécuriser automatiquement les serveurs lorsqu’ils sont créés. CipherCloud propose de son côté un proxy Web qui assure le chiffrement et la tokénisation des données d’entreprises envoyées à un fournisseur de service Cloud.

Les clés de chiffrement restent chez le client, les formats et fonctions associées aux données sont préservées et la latence ajoutée ne dépasse pas les 2 %, selon la direction de CipherCloud. Cette technologie est compatible avec Force.Com, le PaaS de Salesforce.com, et les Google Apps. Elle est proposée sous la forme d’un service managé mais peut aussi être déployée en interne, sous la forme d’une appliance virtuelle. Reavis estime que le Cloud Computing est en train de réinventer l’IT point par point. Et il s’attend à ce qu’il fasse de même avec l’industrie de la sécurité IT. La CSA étudie maintenant la manière dans le Cloud Computing peut être utilisé pour tout sécuriser - et pas uniquement le Cloud. Adapté de l’anglais par la rédaction.

Pour T-Systems, vouloir garantir la sécurité dans le Cloud relève de la gageure

Ouvert depuis 2004 aux services managés, pour des applications SAP, T-Systems exploite une infrastructure virtualisée depuis 2007. Au début, la SSII parlait de ‘Dynamic Services’; maintenant, il faut parler de ‘Cloud privé’. Une évolution sémantique qui s’accompagne d’un engouement croissant, porté tant pas la révolution de la mobilité que par les pressions économiques. Mais la sécurité continue et continuera d’être un défi.

Pour T-Systems, comme pour bon nombre de prestataires de services IT traditionnels, le Cloud est un virage important. Reinhard Clemens, Pdg de la SSII allemande, filiale de l’opération Deutsche Telekom, évoque, sans plus de précision, des investissements «trois fois supérieurs à ceux d’Atos» dans ce domaine.

Il faut dire que, pour les acteurs du vieux continent, une excellente nouvelle est tombée au début de l’été : la confirmation, par Microsoft, de la menace du Patriot Act américain sur les données des clients européens des fournisseurs de services Cloud venus des Etats-Unis - «et même si le centre de calcul est en Europe,» rappelle Reinhard Clemens. Suffisant pour avoir convaincu Daimler ou encore Shell de lui faire confiance... pour Office 365 et Sharepoint respectivement.

Au total, Deutsche Telekom exploite 90 centres de calcul dont 26 pour ses services Cloud, soit environ 58 000 serveurs et une puissance de calcul de 120 300 MIPS. Le tout sur une base ESX de VMware. Et chaque démonstration peut donner l’impression d’augmenter l’engouement.  T-Systems évoque ainsi un prototype présenté sur le CeBIT, en 2010 : un système SAP virtualisé dont la mise ne place ne prend que 20 minutes. Devant le succès du prototype, la SSII prévoit d’en tirer une offre commerciale pour la fin 2011 ou le début 2012.

Encore de nombreux freins

En fait, pour Reinhard Clemens, les moteurs du développement du Cloud sont nombreux et... portés par les consommateurs et les utilisateurs finaux : «le monde change; c’est la première fois qu’il y a autant de terminaux mobiles. Et leur synchronisation passe par le Cloud. [...] Les terminaux mobiles poussent au Cloud; l’adoption est emmenée par les utilisateurs.» Mais les téseaux mobiles sont en train de constituer un premier frain : «l’accès illimité et quasiment gratuit à Internet va faire débat. [...] LTE nous donnera un peu de temps mais la demande restera supérieure à l’offre. [...] La connectivité va très être partout - voitures, systèmes de santé dans des sociétés vieillissantes, smartgrid... [...] Wi-Fi offre beaucoup plus de bande passante. Ce sera un important axe d’investissement pour les prochaines années.»

Des points clés selon Michael Pauly, consultant chez T-Systems : «pour garantir des SLA de bout en bout, il faut maîtriser l’infrastructure Cloud et le réseau.» Mais le Cloud devrait pouvoir compter sur la morosité du climat économique : «un climat nous profite parce que le Cloud permet de faire des économies,» estime Reinhard Clemens. Il lui faudra toutefois dépasser certaines barrières psychologiques ou culturelles : «Les PME allemandes abordent la nouveauté avec beaucoup de circonspection. C’est un peu le cas aussi en France. Mais au Royaume-Uni, c’est totalement différent !»

Et bien sûr, comme le relève Michael Pauly, «tout ne sera basculé dans le Cloud; ce n’est qu’une option de sourcing supplémentaire. Et le Cloud n’est pas un ilot isolé : il faut pouvoir réaliser son intégration avec les systèmes existants.» Se posent aussi les questions des standards et de la sécurité... : «les PME attendent un standard au niveau de l’infrastructure, pour ne plus être prisonnières d’une offre IaaS.Mais c’est vrai aussi pour le SaaS, avec la question du transfert des données d’une offre à l’autre.»

Le Cloud, une sécurité impossible à garantir

Surtout, le Cloud change beaucoup de choses en matière de sécurité. Michael Pauly le souligne volontiers : «le Cloud change dramatiquement la donne. Il n’est plus question d’avoir accès au logiciel ou au matériel, mais juste au service. Cela veut dire utiliser quelque chose que l’on ne contrôle pas, dont on ne sait pas sur quoi il repose et avec quels mécanismes de sécurité. Cela pose de vraies questions de gouvernance.»

La bonne nouvelle, c’est que, pour le fournisseur, la sécurité est une question de vie ou de mort, au sens propre. Le véritable souci, pour Reinhard Clemens, c’est que «les cybercriminels n’ont jamais eu autant d’énergie. Et cela menace les données des consommateurs autant que celles des entreprises.»

Alors, dans ce contexte, est-il encore possible de garantir la sécurité ? «Non, ce n’est pas possible.» D’autant moins, selon lui, que «des équipements réseaux sécurisés seront nécessaires à l’avenir. Et aucun équipement n’est plus fabriqué en Europe.» Une lueur d’espoir, toute de même ? «Le Cloud marque toutefois une avancée pour les PME, en matière de sécurité. Dans leurs infrastructures, aujourd’hui, elle est quasiment nulle. Tout au plus trouve-t-on des pare-feu.»

L’insécurité du Cloud, c’est aussi à cause de ses utilisateurs

Si les entreprises sont encore réticentes à aller vers le Cloud Computing, ce serait par crainte de risques de sécurité. Mais voilà, selon des chercheurs allemands, certains risques de sécurité associés aux services Cloud ne seraient autres que le fait... des clients eux-même.

Selon Trend Micro, 43 % des décideurs IT ont déjà rencontré un problème de sécurité avec un fournisseur de services Cloud au cours des 12 derniers mois. Pour obtenir ce chiffre, l’éditeur a interrogé 1200 décideurs IT à travers le monde - dont au Royaume-Uni et en Allemagne, mais aucun en France. Et parmi les sondés, 10 % exploitent déjà des services Cloud en production; 50 % sont en phase pilote ou de déploiement.

Selon l’enquête présentée par Trend Micro, le principal frein à l’adoption du Cloud computing est la sécurité des infrastructures des fournisseurs et des données (pour 50 % des sondés). Mais qui est vraiment responsable de l’insécurité du Cloud Computing ? Selon Trend Micro, 85 % des sondés utilisant des services Cloud chiffrent leurs données avant de les confier à leur fournisseur. Ce qui tendrait à les dédouaner.

Les scientifiques du Center for Advanced Security (CASED) du département recherche de l’université technique de Darmstadt, ne semblent pas exactement partager ce point de vue. Selon eux, les utilisateurs de services Cloud sont à mettre en cause.

De nombreuses machines virtuelles vulnérables dans le nuage d’Amazon

Ces scientifiques ont développé un outil librement  téléchargeable permettant d’analyser des images de machines virtuelles pour le nuage d’Amazon (AMI, Amazon Machine Image) et d’y chercher des vulnérabilités. Résultat : sur plus d’un millier d’images publiquement accessibles, 30 % présentent des vulnérabilités susceptibles d’être exploitées pour compromettre des services Web ou des infrastructures virtuelles.

Pour les scientifiques du Cased, «si les experts en sécurité se sont principalement concentrés sur la sécurité des infrastructures et des fournisseurs Cloud, il semble en pratique que les menaces créées par les clients de services Cloud lors de la construction de leurs services soient encore sous-estimées sinon ignorées». De fait, pour ces chercheurs, la principale source des vulnérabilités identifiées sur 30 % des images AMI publiquement accessibles, réside dans la manière dont les clients d’Amazon manipulent et déploient les AMI, «avec peu d’attention ou de manière propre à faire des erreurs ». Plus précisément, les chercheurs mettent en cause le non respect des recommandations de sécurité d’Amazon - pourtant détaillées.

Dans un communiqué, ils indiquent être parvenus à «extraire des données critiques telles que des mots de passe, des clés de chiffrement et des certificats» des machines virtuelles étudiées. Pour le professeur Admad-Reza Sadeghi, qui a dirigé le groupe de recherche du Cased, c’est clair : «le problème vient du manque de prise de conscience des clients et pas d’Amazon Web Services.» Les clients affectés ont été informés des vulnérabilités identifiées.

Sécurité : le Cloud prêt à décrocher son contrat de confiance

La Cloud Security Alliance (CSA) et l’ISO ont décidé d’unir leur force sur le terrain de la sécurité dans le Cloud. En créant un comité de liaison commun entre les deux organismes, le CSA compte bien contribuer activement aux développements de bonnes pratiques et d’outils de mesure de la sécurité du Cloud. Pour au final, leur apposer le très précieux sceau de l’ISO. Effet rassurant garanti auprès des PME. Comme un soulagement, le cloud pourrait bien être sur le point de gagner son contrat son confiance.

C’est le sentiment que donne l’annonce d’un rapprochement entre la Cloud Security Alliance, une association d’industriels militant pour la sécurité du Cloud à travers des bonnes pratiques -  inaugurée officiellement en 2009 lors de la RSA Conference -,  et du très sérieux organisme de standardisation international ISO. A la clé : la définition de standards et de bonnes pratiques autour de la sécurité du nuage ainsi que sur les données personnelles, mais également (surtout) d’indicateurs de contrôle qui faciliteront la mesure du niveau de sécurité.

Dans le cadre de cette alliance, officialisée le 20 avril dernier, la CSA a établi un comité de liaison de catégorie C avec le comité technique (Joint Technical Committee) de l’ISO (référencé 1/SC 27)  qui s’occupe de la question ‘Techniques de sécurité des technologies de l'information”. CSA jouera un rôle clé dans ce comité technique en s’impliquant dans le développement via des contributions et en siégeant au sein des groupes de travail. Surtout en se rapprochant de l’ISO, CSA montre aux entreprises que ses bonnes pratiques sont construites pour durer et qu’elles peuvent dès lors se les approprier.

Présentées comme le point bloquant n°1 en matière d’adoption du cloud, la sécurité et la préservation des données dans le cloud ont connu ces dernières semaines de belles déconvenues. Accentuant quelque peu les risques autour du nuage. Amazon, par exemple, dont  la très importante panne d’infrastructure, a immobilisé de nombreux sites aux Etats-Unis. Mais également le cas de Sony et du double de piratage de ses services en ligne de jeux grand public (PlayStation Network et Sony Online Entertainment), qui a débouché sur le vol des numéros de carte de crédit de plusieurs millions d’utilisateurs.

Rassurer les PME

Dans ce contexte où sécurité et données privées sont mises à mal, voir l’ISO s’intéresser à la question a un effet “adoucissant” pour les entreprises. C’est notamment l’avis d’Eric Fradet, directeur de l’Industrialisation chez Steria, pour qui ce rapprochement devrait contribuer à rassurer . “La mission du CSA s’arrêtait au niveau des best practices. Si cela suffit pour nous - nous sommes en permanence à la recherche de certification et de bonnes pratiques pour ramener les clients -, les clients quant à eux veulent davantage d’éléments tangibles. L’ISO devrait alors les rassurer un peu plus”.

Dans un premier temps, cette alliance pourrait donc jouer en faveur des PME, poursuit-il . Car “si les grands comptes disposent des ressources nécessaires pour appréhender la sécurité du Cloud, les PME, qui représentent l’utilisateur naturel du Cloud, ont encore besoin de solution clé en main qui répondent à leur besoin immédiat”, commente-t-il. D’où la nécessité pour ce segment de pouvoir s’appuyer sur des certifications ou des normes internationales, qui viennent garantir un niveau de sécurité minimal des solutions, et sur lesquelles elles peuvent s’appuyer rapidement ... en toute confiance. Le fameux sceau ISO est donc une clé pour la porte des nuages.

D’ailleurs, Eric Fradet compte bien faire valoir cette alliance auprès des clients de la SSII. Cette idée d’étiquette sécurité avait également été évoquée par  Eurocloud, dans ses 17 recommandations adressées au gouvernement en mars dernier. Sans indiquer de standardisation, l’association en charge de la promotion de l’informatique en nuage en France (ex-ASP Forum) avait  recommandé la création d’un label de sécurité pour le Cloud (et surtout le Saas) qui viendrait classer les offreurs et les solutions. Il y avait également glissé un concept de liste noire qui listerait les offreurs de services, ayant déjà subi une condamnation - mais dont la portée se limiterait aux seuls frontières de la maison de cette offreur.

En complément : - RSA Conference 2011 : le Cloud à l'honneur - RSA veut rassurer les donneurs d'ordres sur le Cloud et la virtualisation

Pour Sourcefire, vShield peut encore progresser

Le support des environnements virtualisés par les IDS et IPS de Sourcefire n’est pas une nouveauté. Mais, fin mars dernier, l’éditeur a franchi un nouveau pas avec celui des API vShield, spécifique aux environnements VMware. A la clé, des capacités d’automatisation qui font la différence par rapport aux environnements Xen. Apporter aux environnements virtuels des capacités de sécurisation réseau au moins comparables à celles des environnements physiques.C’est l’ambition des spécialistes de la protection réseau et la plupart ont commencé à développer des offres adaptées aux environnements virtualisés avec Xen et ESX, notamment.

Yann Le Borgne, directeur technique Europe du Sud de Sourcefire rappelle d’ailleurs que «toutes nos sondes existent en mode virtuel, pour faire de la prévention et de détection d’intrusions sur les réseaux virtuels. On peut amener toutes nos fonctionnalités dans ce monde-là et, en plus, y faire de la découverte passive du réseau». Un élément bienvenu selon lui, car «les administrateurs de systèmes oublient parfois qu’avec la virtualisation, les équipes de sécurité perdent en visibilité ».

Mais fin mars, l’éditeur a annoncé l’intégration avec les API vShield de VMware. Pour faire quoi, de plus ? «Pour gagner une capacité à agir : les sondes virtuelles remontent de l’information sur le réseau et les administrateurs peuvent écrire des règles de conformité à partir de ces informations. A partir un événement, il est ainsi possible de bloquer le service ou le flux réseau alors qu’il vient de démarrer.»

Concrètement, lorsque l’IPS détecte une violation de règles - comme l’utilisation d’applications non autorisées ou de ports réseau non-standards ou encore un accès imprévu à un service critique, les API de VMware permettent de configurer dynamiquement vShield App (pour la protection des applications) ou vShield Edge (pour le contrôle des accès au réseau) pour bloquer l’activité non conforme.

Richard Park, chef de produit senior chez Sourcefire, précise encore : «les API vShield nous permettent d’offrir une nouvelle couche d’application des règles de conformité et de contrôle des applications dans les environnements virtuels. L’industrie a eu beaucoup de mal avec ça.» Et si Sourcefire supporte aussi les environnements Xen, vShield apporte bien «des capacités d’administration supplémentaires» : «il manque à Xen certaines API qui permettraient de superviser le trafic réseau au niveau de l’hyperviseur et d’appliquer des règles de contrôle automatiquement.»

Pour Yann Le Borgne, «sans vShield, il serait sans doute possible de réaliser le même type d’opérations, mais au travers de développements particuliers et avec une problématique de maintenance importante ». Mais vShield est encore loin d’être parfait et deux points figurent en tête de la liste de voeux de Richard Park : «une granularité bien plus fine sur le contrôle du trafic, pour qu’il ne se limite pas à la périphérie du centre de calcul [avec vShield Edge, NDLR], mais qu’il s’étende au trafic entre machines virtuelles. Et nous souhaitons aussi plus de flexibilité, plus de contrôle sur les règles de pare-feu. Mais nous avons une communication très étroite avec VMware.»

En complément : - Matt Northam, VMWare : "vSafe permet d'inspecter le trafic avant qu'il n'arrive à la machine virtuelle" - Trend Micro met à jour son offre de sécurité pour les environnements virtualisés

Après son rachat par Intel, McAfee rapproche enfin la sécurité du matériel

Si Intel était resté relativement évasif sur ses ambitions lors de l’annonce du rachat de McAfee, pour 7,7 Md$, il y a tout juste un peu plus d’un an, de nombreux observateurs voyaient dans cette initiative le moyen de rapprocher la sécurité logique du matériel. Une stratégie aux perspectives multiples : disposer d’arguments supplémentaires face à ARM sur le terrain de la mobilité et verrouiller ses positions sur les marchés traditionnels des PC et des serveurs, notamment. Un rapprochement attendu, donc, et qui se concrétise aujourd’hui avec l’annonce de la technologie DeepSafe. McAfee vient de profiter de l’ouverture de l’Intel Developer Forum, qui se déroule actuellement à San Francisco, pour annoncer la technologie DeepSafe.

Dans un communiqué aussi grandiloquent qu’il se doit, l’éditeur explique «redessiner l’industrie» avec sa nouvelle technologie, en «combinant la puissance du matériel avec celle du logiciel pour créer des moyens bien plus sophistiqués de prévenir les attaques.» Et de souligner lourd de menaces que «les cybercriminels savent comment contourner les dispositifs de sécurité actuels résidant au-dessus du système d’exploitation.» Une situation qui nécessite, à ses yeux, «un nouveau paradigme : la sécurité au-delà du système d’exploitation.»

En fait, avec DeepSafe, il s’agit surtout d’installer la sécurité en-dessous, au plus près du matériel «en tirant profit des fonctions de sécurité qu’offrent déjà les processeurs Intel.» Ce qui ne signifie pas que McAfee entende faire une croix sur le logiciel s’exécutant dans le système d’exploitation. Non, pour l’éditeur, il s’agit de créer des solutions logicielles de sécurité avec assistance matérielle - de quoi ouvrir la voie à de «nouvelles technologies de protection innovantes, dont la détection et la prévention des APT et des logiciels malveillants. De nombreux APT s’appuient sur des techniques furtives telles que des  rootkits capables de s’intégrer directement au système d’exploitation pour se prémunir des dispositifs de sécurité conventionnels.»

Et en plaçant une nouvelle couche de sécurité sous le système d’exploitation, McAfee estime pouvoir surveiller la mémoire, les registres du processeur, ainsi que leur activité et celle d’autres composants matériels. Une idée qui reprend celle qui est à la base des API vSafe de VMware pour sécuriser les environnements virtualisés. A la différence qu’il s’agit de s’attaquer, là, à la question des machines physiques. Le parallèle est d’autant moins incongru que DeepSafe s’appuie la technologie VTx d’Intel, celle-là même qui apporte un soutien matériel à la virtualisation. Pour l’heure, McAfee a fait la démonstration d’une protection efficace contre un rootkit, Agony, l’empêchant d’infecter un système en temps réel. Les premiers outils logiciels à profiter de DeepSafe devraient être ceux de la plateforme Endpoint Security de McAfee.

Cette présentation de DeepSafe apparaît comme la confirmation de ce que beaucoup  pressentaient lors de  l’annonce du rachat de McAfee par Intel : il s’agissait bien de rapprocher la sécurité logique du matériel. Et tant pis si McAfee ne répond pas de manière claire à la question de savoir si la création de DeepSafe était la motivation à son rachat par Intel. Ce rapprochement ne manque pas d’intérêt pour le fondeur, à commencer par renforcer ses positions sur ses marchés traditionnels des serveurs et des PC.

Mais McAfee apporte aussi une confirmation, à demi-mots, des ambitions pressenties lors de l’annonce de cette opération : renforcer les positions d’Intel sur le marché des terminaux mobiles face à ARM en proposant une plateforme intégrant des fonctions de sécurité. Et ainsi, McAfee indique que si DeepSafe fonctionne avec Windows 7, et supportera Windows 8, il «évalue le potentiel de [sa] technologie pour Android.»

Pour approfondir sur Sécurité des environnements virtuels et des conteneurs