Sécurisation des données sur les services informatiques CLOUD

Sécurisation des données sur les services informatiques CLOUD : Recommandations de la CNIL et bonnes pratiques

L’essor fulgurant des services cloud a révolutionné la manière dont les entreprises déploient et gèrent leurs ressources informatiques. Elle offre une flexibilité, une évolutivité et une accessibilité sans précédent.

Un service cloud informatique se définit comme une infrastructure qui offre des ressources informatiques via internet. Ces ressources incluent le stockage, les bases de données et les applications.

Ces services sont fournis par des tiers. Ils permettent aux utilisateurs d’accéder à des capacités informatiques à la demande, sans avoir à gérer l’infrastructure sous-jacente.

Les entreprises utilisatrices de ces services se doivent de se conformer à la pratique de protection des données. Il en est de leur responsabilité. Pour ce faire, la CNIL avait déjà prononcé en 2012 des recommandations sur cette utilisation. Aujourd’hui, elle rend disponible aux utilisateurs de ces services Cloud deux fiches pratiques. Ces fiches concernent le chiffrement et la sécurisation des données.

Le chiffrement

Le chiffrement est un processus qui consiste à transformer des données ou des informations en un format illisible, appelé texte chiffré. Il utilise un algorithme spécifique et une clé.

Le but principal du chiffrement est de protéger la confidentialité et la sécurité des données. Il empêche les tiers non autorisés d’accéder ou de comprendre leur contenu.

Pour qu’il soit ainsi efficace, il est crucial de gérer les clés de chiffrement de manière sécurisée et d’utiliser des algorithmes de chiffrement réputés solides.

Selon l’état de la données et son emplacement, différentes approches sont envisageables :

Lorsqu’on aborde la question de la sécurité des données, il est essentiel de prendre en compte les différentes phases de leur cycle de vie. Parmi celles-ci, la caractérisation de la donnée au repos, en transit et en traitement joue un rôle crucial. Cela permet de mettre en place des mesures de protection adéquates.

Données au repos : protéger l’information stockée

La donnée au repos se réfère à toute information stockée de façon permanente dans une mémoire. Cela peut être un disque dur ou un disque SSD, en attente d’être utilisée ultérieurement.

Le chiffrement des données au repos constitue une mesure de sécurité efficace. Il protège contre les accès non autorisés, qu’il s’agisse d’attaques de pirates informatiques ou d’accès physiques aux serveurs. En pratique, il existe quatre niveaux de chiffrement possibles : au niveau du disque, du fichier, de la base de données ou de l’application.

Données en transit : sécuriser les échanges d’information

Lorsque les données circulent à travers un réseau de communication, que ce soit entre différentes parties d’un même système d’information, elles sont considérées comme étant en transit. Il en va de même entre des systèmes distincts. Pour sécuriser ces échanges, les données sont chiffrées lors de l’envoi et déchiffrées à la réception. Les protocoles les plus couramment utilisés pour le chiffrement des communications incluent TLS, SSH, IPSec et MACSEC.

Généralement, le chiffrement des données en transit implique l’utilisation d’un système de chiffrement à clé publique. Cela permet d’établir un tunnel sécurisé et d’échanger des clés de session entre les parties concernées.

Données en traitement : protéger les informations en cours de manipulation

Lorsque les données sont accessibles et soumises à des opérations de calcul ou de manipulation au sein d’un système informatique, elles sont considérées comme étant en traitement. Cela implique généralement des opérations effectuées par des unités de traitement telles que les processeurs d’ordinateurs.

Bien que le chiffrement des données en traitement soit plus complexe en raison de la nécessité de les rendre lisibles pour les opérations, il est crucial de mettre en place des mesures appropriées pour garantir leur sécurité. Si les données ne sont pas chiffrées lors de leur traitement par le service, cela peut compromettre l’efficacité du chiffrement au repos et/ou en transit par le fournisseur en termes de protection.

Il convient de noter que pour une implémentation efficace du chiffrement, il est recommandé de se référer aux bonnes pratiques et aux recommandations établies par des organismes spécialisés. Ces recommandations offrent une base solide pour garantir la sécurité des données. En particulier, le guide de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) sur les algorithmes de chiffrement constitue une référence précieuse. Il permet de choisir les méthodes de chiffrement les plus adaptées à chaque contexte.

Le contrôle de l’environnement

Une question cruciale se pose, sur le contrôle de l’environnement du Cloud. En effet, que ce soit le fournisseur de services Cloud ou le client, chacun doit assumer sa part de responsabilité dans le contrôle de l’environnement.

Il est primordial de clarifier les rôles de chaque partie concernant la sécurité des données. Les entités clientes d’un fournisseur de services cloud doivent évaluer le degré de propriété, de gouvernance et de maîtrise des clés de chiffrement.

Il revêt une importance capitale pour le client d’identifier les détenteurs des clés, ainsi que ceux qui en ont le contrôle en matière d’accès et de gestion. Cela est particulièrement crucial lorsqu’il s’agit de services fournis par des prestataires soumis à des réglementations extérieures à l’Union européenne.

Dans le cadre de leur relation, en principe, seuls l’émetteur et le destinataire du service sont en capacité d’accéder au contenu en clair. Pour éviter d’éventuels accès non autorisés une gestion des habilitations est conseillé pour le contrôle des accès, le chiffrement également.

Le cloud computing

Dans un environnement de Cloud computing, par rapport au modèle traditionnel “sur site”, le client confie une partie de ses responsabilités en matière de sécurité au fournisseur de Cloud. Cela concerne notamment le chiffrement et la gestion des clés. C’est à travers ce principe que l’on peut identifier le fournisseur de service Cloud comme une source de risque.

Effectivement, en pratique, un fournisseur de services Cloud peut accéder aux données, de différentes manières, suivant l’état dans lequel se trouve la donnée. On considère donc le fournisseur tel un « vecteur d’attaque » facile, en ajoutant également que celui-ci peut lui-même sous-traiter ces services. Du point de vue technique, la suppression de toute possibilité d’accès aux données par le fournisseur n’est assurée que par la détention, le contrôle, la possession, l’accès et l’utilisation exclusifs des clés par le client. Une méthode efficace pour cela est le chiffrement de bout en bout. Il garantit que le fournisseur de services Cloud n’a pas de visibilité sur les données, et que le client conserve un contrôle total.

Les pratiques du chiffrement conseillé par la CNIL :

https://cnil.fr/fr/les-pratiques-de-chiffrement-dans-linformatique-en-nuage-cloud-public

Pour garantir une protection complète des données, en complément du chiffrement, il est nécessaire de prendre en compte l’utilisation d’outils de sécurisation adaptés.

Les outils de sécurisation et de performance

Les outils et services pour la sécurité et la performance de services sont des solutions logicielles ou matérielles. Elles sont conçues pour protéger les données, les applications et les infrastructures informatiques contre les menaces potentielles. Ils visent également à optimiser les performances des services proposés.

Ces outils peuvent inclure des pare-feux, des antivirus, des outils de détection des intrusions et des systèmes de prévention des pertes de données. Ils peuvent également englober des outils de gestion des identités et des accès. De plus, des services de surveillance et d’optimisation des performances réseau, des applications et des serveurs peuvent être utilisés.

L’objectif est de garantir la disponibilité, l’intégrité et la confidentialité des services tout en maximisant leur efficacité opérationnelle.

Voici, quelques recommandations fournies par la CNIL en terme d’outils de sécurisation et de performance :

Les outils pour la sécurisation d’application de services web :

Les solutions anti-DDoS (Distributed Denial of Service) sont conçues pour détecter, atténuer et prévenir les attaques visant à perturber ou rendre inaccessibles les services en ligne en submergeant les serveurs ciblés avec un flux massif de trafic réseau. Elles fonctionnent par filtrage du trafic en bordure du système d’information, en amont. Les pare-feu Web Application Firewall (WAF) protègent les applications web en analysant les flux web et en les bloquant.

Les outils pour la performance de services web :

Les réseaux de distribution de contenu (CDN) réduisent la latence et améliorent l’expérience utilisateur en stockant temporairement les données dans des systèmes situés au plus près des utilisateurs. Ils contribuent également à la répartition de la charge sur plusieurs serveurs, renforçant ainsi la protection contre les attaques DDoS. Les répartiteurs de charges (Load balancers) optimisent le temps de traitement des requêtes. Ils améliorent également la disponibilité en répartissant efficacement la charge sur les serveurs. Ils offrent également une défense contre les attaques DDoS, tout comme les CDN.

Bon à savoir : Ces solutions sont susceptibles de traiter des données personnelles. Elle traite des adresses IP/MAC, des données permettant l’identification d’attaques comme la géolocalisation et les IOC, mais encore, des données personnelles, y compris des données sensibles, contenues dans les paquets échangés.

Lors de l’utilisation de services Cloud, les entreprises clientes doivent se renseigner sur les technologies utilisées par le fournisseur pour encadrer les transferts de données.

Ces transferts peuvent impliquer des traitements de données personnelles via des outils. Ces outils peuvent appartenir à des fournisseurs non-européens, potentiellement entraînant des transferts hors de l’Union européenne. Il est crucial de noter que ces outils, bien que destinés à sécuriser et améliorer les performances, peuvent faire transiter les données dans des pays ne garantissant pas le respect du RGPD.

En cas de transfert, le client, devra ainsi se rapprocher du guide pratique de CNIL : https://cnil.fr/fr/responsables-de-traitement-comment-identifier-et-traiter-des-transferts-de-donnees-hors-ue. Il devra définir un plan d’action encadrant les transferts. Des ressources supplémentaires sur les questions à considérer et les actions à mettre en œuvre sont disponibles sur le site de la CNIL. https://cnil.fr/fr/les-outils-de-securisation-dapplications-web-dans-linformatique-en-nuage-cloud

Une autre option pour sécuriser les données est l’utilisation du protocole TLS. Celui ci garantit la confidentialité et l’intégrité des échanges de données sur Internet. Agissant au niveau de la couche de transport du modèle OSI, il est largement utilisé pour sécuriser les communications en ligne. Exemple : les transactions financières, les courriels sécurisés et les connexions VPN.

Le principe de fonctionnement de TLS repose sur plusieurs étapes : le handshake TLS, Le chiffrement symétrique avec clés de session, et l’authentification du serveur d’origine.

Une problématique réside néanmoins dans le déchiffrement des flux TLS à leur dernière phase. Cela présente des risques tels que la compromission de la confidentialité des données déchiffrées.

Cependant, ces risques peuvent être atténués par la mise en place de mesures de sécurité au niveau des points de déchiffrement.

D’autres actions telles que la minimisation des données déchiffrées et la limitation de leur durée de conservation peuvent contribuer à atténuer ces risques. De plus, l’engagement de transparence avec les personnes concernées est également essentiel.

Toutes les informations complémentaires aux actions énoncées sont disponibles sur le site de la CNIL : https://cnil.fr/fr/les-outils-de-securisation-dapplications-web-dans-linformatique-en-nuage-cloud

https://cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions

Liens utiles :

Conclusion

Pour conclure, l’essor des services cloud a révolutionné la gestion des ressources informatiques des entreprises. Elle offre une flexibilité et une accessibilité inégalées. Cependant, cela soulève des préoccupations majeures en matière de sécurité des données.

Le chiffrement des données est essentiel pour assurer la sécurité des informations sensibles et ne doit pas être négligé. Il est également important de reconnaître les risques associés au déchiffrement des données.

Outre le chiffrement, l’utilisation d’outils de sécurisation et de performance est essentielle pour garantir la protection des données. Elle l’est également pour garantir l’efficacité opérationnelle des services cloud. Des solutions telles que les pare-feux, les antivirus, les réseaux de distribution de contenu (CDN) et les répartiteurs de charge existent.

Il est nécessaire pour chaque client de service Cloud de vérifier ces mesures applicables. Ils doivent également identifier tous les risques encourus à l’utilisation de ces services.

Retrouvez tous nos articles sur la veille juridique juste ici.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie