Quels sont les impacts d’une brèche de sécurité ?
Trust : La perte de données crée un impact négatif sur la confiance du client.
Legal action : Quand les données sensible sont utilisés à des fins criminels.
Revenue : L’indisponibilité des données entraine la perte de données.
Reputation : L’indisponibilité des données entraine la perte de réputation de l’entreprise.
Theft : Vol d’idées innovantes, propriété intellectuelle et designs de produits.
Vue d’ensemble sur la sécurité dans le cloud
Trust (dépend du degré de contrôle et de visibilité)
Mechanisms (Devrait être déployer pour protéger les données)
Threats (Entraine la destruction des données)
GRC - Gouvernance | Risk | Compliance (améliore la puissance de la sécurité cloud)
Information (Data) - L’atout le plus important d’une organisation
Comment les exigences de sécurité sont-elles différentes dans le cloud ?
- Network security :
Les pare-feu ne sont pas suffisants, et il faut des mécanismes supplémentaires comme les VPN et les IDPS. - Rapid Elasticity :
Les outils de sécurité doivent détecter les ressources nouvellement provisionnées et s’intégrer aux ressources existantes. - Resource Pooling :
La mise en commun des ressources nécessite des mécanismes supplémentaires tels que l’isolation logique des locataires et un contrôle d’accès strict pour prendre en charge la multilocation.
Les concepts de sécurité : C.I.A (Confidentiality - Integrity - Availability)
C.I.A (Confidentiality, Integrity, Availability)
Confidentialité (Confidentiality) : Assure le secret de l’information
Intégrité (Integrity) : S’assurer qu’aucune modification non autorisée n’est apporté aux informations
Disponibilité (Availability) : Veille à ce que les ressources soient toujours disponibles pour les utilisateurs autorisés.
- Concept N°4 : Velocity of attack
- Concept N°5 : Information assurance
Assure la confidentialité, l’intégrité et la disponibilité des données du consommateur dans le nuage.
Les consommateurs doivent accéder aux données pour lesquelles ils ont des droits et uniquement dans la mesure où les politiques et leurs rôles le permettent.
L’assurance de l’information est avant tout une préoccupation du consommateur
Les fournisseurs de services en nuage doivent déployer des mécanismes d’authentification et d’autorisation solides pour protéger les données des consommateurs.
Les concepts de sécurité : A.A.A
Authentication :
* Les utilisateurs ou les actifs du cloud sont ceux qu'ils prétendent être
* Authentification à facteur unique
* Authentification à multi-facteurAuthorization :
* Processus permettant de déterminer les privilèges dont dispose un
utilisateur
* Effectué uniquement si l’authentification est réussie
Auditing :
* Enregistrement de toutes les transactions pour évaluer l’efficacité des
contrôles de sécurité.
* Aide à valider le comportement des composants de l’infrastructure
* Utile pour les activités de débogage et de surveillance
Les concepts de sécurité : Secure Multitenancy
- La multilocation permet à plusieurs consommateurs de partager les
ressources.
* La multilocation augmente les risques de sécurité pour la confidentialité,
l’intégrité et la disponibilité des données.
* Une multilocation sécurisée doit être déployée pour atténuer les
problèmes de sécurité.
* La multilocation sécurisée nécessite des mécanismes et des politiques de
sécurité rigides.
Les concepts de sécurité : Velocity of attack
Situation dans laquelle une menace existante dans un nuage peut se propager rapidement et avoir un impact important.
- Facteur amplificateur velocity of attack :
Grand nombre de composants d’infrastructure en nuage s’étendant sur des frontières géographiques.
Homogénéité et normalisation des plates-formes et des composants du cloud
- Attack surface | Attack of vector | Work factor
Attack surface => L’ensemble des points d’entrée pour effectuer une attaque
Attack vector => L’ensemble des étapes nécessaire pour effectuer une attaque
Work factor => Le facteur travail fait référence à la quantité de temps et d’efforts nécessaires pour exploiter un vecteur d’attaque.
