Christophe Jolivet
Directeur de PROSICA
Membre de la Commission Sécurité d’EuroCloud
Les risques de malveillance interne existent aussi bien pour les systèmes d’information traditionnels que pour les environnements de type Cloud Computing. Quelques exemples illustrant ce type de risques :
- L’ingénieur commercial licencié qui quitte son entreprise avec une copie des fichiers clients.
- L’informaticien administrant le serveur de messagerie qui accède aux boîtes des membres du comité de direction.
- Les fraudes financières impliquant des modifications de données sur les applications comptables de l’entreprise.
- Un développeur cache un morceau de code (backdoor) dans les sources d’un programme pour réaliser des accès ultérieurs sans authentification.
Voici quelques points à considérer pour analyser les risques de malveillance interne en environnement Cloud :
- En fonction du type de service (IaaS, PaaS ou SaaS), quels sont les types d’accès disponibles et leur niveau de privilèges (simple utilisateur jusqu’à administrateur avec tous les droits).
- Quels sont les comptes sous la responsabilité du Cloud Provider, du client et d’éventuels prestataires (Cloud brokers, prestataires du client et du Cloud Provider).
- Quel est le niveau de virtualisation des systèmes en gardant à l’esprit qu’un administrateur d’un hyperviseur a la maitrise technique des systèmes d’exploitation sous-jacents.
- Comment sont définis les accès réseaux de l’entreprise vers son service Cloud? accès depuis n’importe quel point d’Internet, accès limité à son réseau d’entreprise, entre son data center et un Cloud privé?
Pour mener à bien cette analyse, il est fondamental de connaître les données et les processus à protéger ainsi que leur sensibilité. Par exemple, les risques sont de nature très différente entre l’environnement de développement d’une startup en mode PaaS, une application de gestion des ressources humaines en mode SaaS ou l’archivage de données médicales en mode IaaS. Une fois cette analyse de risque finalisée, des mesures de sécurité sont sélectionnées. Voici quelques exemples de mesures à mettre en place par le fournisseur, le broker ou le client final en fonction des types de service Cloud.
Prévention
- Définir rigoureusement le processus de gestion des accès : depuis l’arrivée d’un collaborateur jusqu’à son départ en n’oubliant pas d’inclure les changements de fonction (retrait des anciens droits et allocation des nouveaux droits). Intégrer la gestion des comptes affectés aux informaticiens et aux applications. Il peut être judicieux, pour éviter plusieurs processus, de se reposer sur l’annuaire interne de l’entreprise avec des mécanismes de fédération d’identités (utilisant le protocole SAML par exemple).
- Adopter le principe du moindre-privilège pour chaque accès (c’est-à-dire le strict nécessaire et pas plus) pour tous les types de comptes (utilisateurs simples ou privilégiés, administrateurs applicatifs et systèmes, comptes de services utilisés par d’autres applications, interfaces entre le SI de l’entreprise et son fournisseur Cloud).
- Mettre en œuvre une séparation des tâches, en particulier pour les opérations les plus sensibles. Par exemple, imposer que l’export d’une base de données client ne puisse se faire qu’avec la validation de deux responsables.
- Tracer les actions sensibles sur les systèmes et imposer la conservation sécurisée des logs sur un serveur central accessible en lecture seule.
Détection
- Mettre en place un système d’alerte en cas d’accès pouvant être le signe d’un événement anormal. Par exemple, superviser les boîtes de messagerie électronique d’utilisateurs sensibles avec envoi d’alerte en cas d’ouverture par le compte d’administration du serveur de messagerie.
- Contrôler régulièrement l’intégrité des fichiers sensibles. Par exemple, signer électroniquement un fichier source afin de détecter une modification illicite du code.
- Auditer et contrôler régulièrement son système d’information en comparant l’état d’un système en termes d’accès et les autorisations accordées par le propriétaire de la donnée. Par exemple, dans le cadre d’un ERP en mode SaaS, faire le lien entre les droits autorisés par le responsable de la comptabilité, les droits constatés sur le système et les opérations effectuées sur le dernier mois.
Réaction
- En cas de doute, être en mesure de mener une investigation poussée sur un système informatique, afin de qualifier un événement suspect. En cas de malveillance avérée qui nécessiterait une procédure légale, il faut collecter des éléments de preuves qui pourront alimenter le dossier.
- Avoir les moyens de réagir aux requêtes administratives ou judiciaires nécessitant des accès à la configuration des systèmes ou à des données. En France par exemple des autorités comme la CNIL ou l’AMF peuvent à l’occasion d’un contrôle requérir l’accès à des fichiers de configuration ou à des données utilisateurs. Le client Cloud doit être en mesure de donner suite à ces requêtes.
En conclusion, le risque de malveillance interne est-il plus élevé en environnement Cloud ou en mode traditionnel ? La réponse est… cela dépend de la sensibilité des transactions, du type de données, du niveau de sécurité que je suis capable d’atteindre sur mon système d’information comparé au niveau de sécurité de mon fournisseur Cloud.
Seule une analyse des risques concrète permettra de répondre à cette question et de choisir au final le service le plus adapté, en toute conscience !