Discussion:Sécurité des infrastructures du cloud

Autres discussions [liste]

Admissibilité
Neutralité
Droit d'auteur
Article de qualité
Bon article
Lumière sur
À faire
Archives
Commons

Cet article est indexé par les projets Informatique, Sécurité informatique et Télécommunications.

Les projets ont pour but d’enrichir le contenu de Wikipédia en aidant à la coordination du travail des contributeurs. Vous pouvez modifier directement cet article ou visiter les pages de projets pour prendre conseil ou consulter la liste des tâches et des objectifs.

**Évaluation** de l’article « **Sécurité des infrastructures du cloud** »
Avancement	Importance
B	Moyenne	Informatique (discussion • critères • liste • stats • hist. • comité • stats vues)
		Sécurité informatique (discussion • critères • liste • stats • hist. • comité • stats vues)
		Télécommunications (discussion • critères • liste • stats • hist. • comité • stats vues)

Cet article ne comporte pas de liste de tâches suggérées. Vous pouvez saisir une liste de tâches à accomplir (par exemple sous forme d'une liste à puces), puis sauvegarder. Vous pouvez aussi consulter la page d'aide.

Relecture[modifier le code]

Bonjour, je suis Aurélia, l'une des relectrice de votre sujet. Je tiens tout d'abord à vous féliciter pour votre travail, nous sommes bien conscients de l'effort que vous avez dû fournir. Ainsi, je me permets de vous faire une nouvelle formulation pour votre plan, ainsi que certaines remarques sur votre sujet, en suivant les sections de votre plan. --Aurélia Catrice

Bonjour, Merci pour votre relecture, je vais commencer à prendre en considération vos retours à partir du Lundi 03 Février. Par contre, pensez à ajouter votre signature à la fin de vos différentes remarques. --David De Macedo (discuter) 1 février 2020 à 11:32 (CET)[répondre]

Proposition de reformulation pour le plan[modifier le code]

   • 1 Problèmes de sécurité
       ◦ 1.1 Contexte 
       ◦ 1.2 Menaces communes
   • 2 Préoccupations
       ◦ 2.1 Sécurité de l'information 
           ▪ 2.1.1 Vie privée et Confidentialité 
           ▪ 2.1.2 Intégrité 
           ▪ 2.1.3 Disponibilité 
       ◦ 2.2 Contrôles de sécurité 
           ▪ 2.2.1 Monitoring et Journalisation 
           ▪ 2.2.2 Tests de vulnérabilité et d'intrusion 
           ▪ 2.2.3 Contrôle d'accès 
           ▪ 2.2.4 Audit 
       ◦ 2.3 Compromis de sécurité 
   • 3 Sécurisation
       ◦ 3.1 Physique
       ◦ 3.2 Réseaux 
       ◦ 3.3 Stockage 
       ◦ 3.4 Virtualisation
       ◦ 3.5 Applications 
       ◦ 3.6 Données 
           ▪ 3.6.1 Risques courants
           ▪ 3.6.2 Techniques Cryptographiques
   • 4 Références

Votre autre collègue relecteur à fait aussi une proposition de reformulation, je vais tacher de modifier en prenant compte de vos différentes remarques. --David De Macedo (discuter) 5 février 2020 à 15:42 (CET)[répondre]

Problèmes de sécurité dans les Infrastructures Cloud[modifier le code]

Contexte[modifier le code]

Il serait intéressant de revenir plus en détail sur les notions de cloud privé/public/hybride car il s'agit quand même de notions importantes. Egalement si possible, renseigner l'article présentant le délit d'initié. --Aurélia Catrice

J'ai justement fait une référence vers une source qui explique très bien les notions de cloud privé, hybride, etc...Concernant la suspicion de délit d'initié, quelques sites Internet en parle, Effectivement, ce serait mieux d'ajouter une référence, je vais tacher d'en ajouter une. --David De Macedo (discuter) 5 février 2020 à 15:16 (CET)[répondre]

J'ai ajouté 3 références concernant le délit d'initié. --David De Macedo (discuter) 5 février 2020 à 17:12 (CET)[répondre]

Menaces les plus communes sur les Infrastructures Cloud[modifier le code]

Ce serait plus parlant si vous pouviez trouver un exemple pour chacune des attaques que vous listez, ou au moins dire en quoi elles sont communes dans le contexte du cloud. Essayez de toujours faire le lien avec votre sujet, ne restez pas général sur la sécurité informatique. --Aurélia Catrice

On peut trouver plus d'info sur les sources bibliographique que j'indique en référence pour ce sujet. Il y en a 2 qui indiquent plus ou moins la même chose et qui traite des sujet spécifique à la sécurité sur le cloud. --David De Macedo (discuter) 5 février 2020 à 15:22 (CET)[répondre]

Préoccupations en matière de sécurité[modifier le code]

"sur un équipement qui n'appartient pas à l'entreprise à qui appartiennent les données" Peut-être reformuler la phrase comme ceci: "sur un équipement qui n'appartient pas à l'entreprise possédant les données" --Aurélia Catrice

Effectivement, ça me semble mieux. Je modifie dans ce sens. --David De Macedo (discuter) 5 février 2020 à 15:25 (CET)[répondre]

"Il est recommandé que les contrôles de sécurité de l'information soient choisis et mis en œuvre en fonction des risques, mais aussi proportionnellement à ces derniers, en évaluant les menaces, les vulnérabilités et les impacts." Pouvez-vous donner des exemples de contrôle ? --Aurélia Catrice

En faite, ce paragraphe est une introduction à ce qui suit. Les sections suivantes traitent des différents contrôles un peu plus dans le détail. --David De Macedo (discuter) 5 février 2020 à 15:25 (CET)[répondre]

Je suis tout à fait d'accord, je me suis peut être mal exprimée (j'aurais dû citer dans la partie Contrôles de sécurité des clouds). J'ai un peu de mal à voir la spécificité de certaines mesures pour le cloud. Par exemple concernant les tests d'intrusion et les audits, j'ai peur que cela reste très général à la sécurité. De plus vous faites une classification des contrôles, mais si vous pouvez apporter des exemples de tests pour les infrastructures cloud, cela permettrait de mieux axer cette section. --Aurélia Catrice 8 février 2020 à 21:42 (CET)[répondre]

Si vous avez le temps, peut être que parler de la conformité PCI DSS peut être intéressant. --Aurélia Catrice

Je ne connais pas trop, je vais creuser le sujet. --David De Macedo (discuter) 5 février 2020 à 15:25 (CET)[répondre]

Contrôles de sécurité des clouds[modifier le code]

Contrôle d'accès[modifier le code]

"Les contrôles d'accès sont généralement décrits comme discrétionnaires ou non discrétionnaires" Pouvez-vous détaillez pourquoi? --Aurélia Catrice

J'indique 2 références sur ce sujet. Si le lecteur est intéressé par ces sujet, il peut aller voir ce qui est indiqué dans les sources ou bien allé voir les lien wikipédia que j'indique plus bas. --David De Macedo (discuter) 5 février 2020 à 17:27 (CET)[répondre]

Sécurisation infrastructures cloud[modifier le code]

Au niveau du réseau[modifier le code]

Expliquer à quoi sert un load-balancer (en français répartiteur de charge) (début de réponse: la redondance). Egalement, il ne me semble pas que le répartiteur de charge soit centré sur le cloud. --Aurélia Catrice

sauf erreur de ma part, j'ai fais un lien pour renvoyer vers la page wiki du load balancer, je penses pas qu'il soit nécessaire d'en parler. Concernant la remarque : "il ne me semble pas que le répartiteur de charge soit centré sur le cloud", je site la source qui indique cette information, précisément en page 125. --David De Macedo (discuter) 5 février 2020 à 15:35 (CET)[répondre]

Les répartiteurs de charge sont également utilisés pour des infrastructures virtualisées et même physiques. De plus cela permet d'assurer un aspect de la sécurité (plus particulièrement la disponibilité) et j'ai l'impression qu'il en va de même pour les contrôleurs de livraison d'applications. Voilà pourquoi je pense qu'il faudrait tout de même modifier la phrase. --Aurélia Catrice 8 février 2020 à 22:09 (CET)[répondre]

Sécurité des applications[modifier le code]

"Il faut également veiller à verrouiller les ports et les commandes inutiles sur la stack LAMP utilisée dans le cloud" Quand vous dites “utilisée sur le cloud”, vous parlez de la stack, ou des ports et des commandes inutiles? Pour moi, j'ai tendance à penser que vous parleriez des ports/commandes. --Aurélia Catrice

Oui, il est indiqué dans la source qu'il faut verrouiller les commandes & ports la stack LAMP utilisée dans le cloud. --David De Macedo (discuter) 5 février 2020 à 15:39 (CET)[répondre]

D'accord, merci pour cette précision --Aurélia Catrice 8 février 2020 à 22:13 (CET)[répondre]

Relecture[modifier le code]

Bonjour, je suis le second relecteur de votre article. Tout comme Aurélia, je vous félicite pour votre article qui m'a permis d'avoir une vision plus éclairée des enjeux de sécurisation des infrastructures Cloud.

Je me permets de vous proposer les améliorations suivantes :

Section : "Vie privée et Confidentialité" : Développement la responsabilité juridique[modifier le code]

À plusieurs reprises, vous évoquez l'importance du respect de la vie privée et de la confidentialité des données (notamment avec l'entrée en vigueur du RGPD). Je pense que développer l'aspect responsabilité juridique de cette section en répondant aux questions suivantes pourrait être bénéfique pour votre article :

- dans le cas de prestation IaaS, PaaS et SaaS, quel est le degré de responsabilité du fournisseur et de l'utilisateur ?
- dans le cas du non respect de la législation, quelle sanction peut être appliquée ? Y a -t-il déjà eu des précédents en terme de condamnation ?

Pour répondre à ces questions, je pense qu'utiliser le référentiel d'exigences des prestataires de services d'informatique en nuage de l'ANSSI pourrait être une bonne base de départ.

Je fais la distinctions du degré de responsabilité entre les différents cloud dans la section Compromis de sécurité. Néanmoins, intégrer en plus dans cette section les différentes informations remontées par l'ansi peut être une bonne idée. Aussi, je vais indiquer le montant de l'amende sur le non respect de la législation rgpd. --David De Macedo (discuter) 5 février 2020 à 17:40 (CET)[répondre]

Qualification des prestataires de services Cloud[modifier le code]

Je pense que vous auriez pu développer une sous section sur les différents types de qualification que peut recevoir un prestataire de service Cloud, comme la qualification SecNumCloud de l'ANSSI, ou encore ESCloud. Cette sous section pourrait développer les différentes exigences auxquelles un prestataire doit répondre pour obtenir ces labels. Je pense qu'utiliser les référentiels d'exigences de l'ANSSI, ainsi que le catalogue C5 pourrait être une bonne base de départ. Ces deux labels dépendent des états français et allemand, de nombreux labels d'entreprises privées émergent et rendent difficile l'harmonisation et la compréhension des labels du cloud. Je pense que mettre en avant ces difficultés pourrait apporter à votre article. Aussi, je vous propose le plan suivant (basé sur celui proposé par Aurélia) pour intégrer cette sous section.

En effet, inclure ces différents labels dans l'article est une bonne idée. Je vais taché de le faire. --David De Macedo (discuter) 5 février 2020 à 15:55 (CET)[répondre]

   • 1 Problèmes de sécurité
       ◦ 1.1 Contexte 
       ◦ 1.2 Menaces communes
   • 2 Préoccupations
       ◦ 2.1 Sécurité de l'information 
           ▪ 2.1.1 Vie privée et Confidentialité 
           ▪ 2.1.2 Intégrité 
           ▪ 2.1.3 Disponibilité 
       ◦ 2.2 Contrôles de sécurité 
           ▪ 2.2.1 Monitoring et Journalisation 
           ▪ 2.2.2 Tests de vulnérabilité et d'intrusion 
           ▪ 2.2.3 Contrôle d'accès 
           ▪ 2.2.4 Audit 
       ◦ 2.3 Compromis de sécurité 
       ◦ 2.4 Labellisation des prestataires d'infrastructures cloud
   • 3 Sécurisation
       ◦ 3.1 Physique
       ◦ 3.2 Réseaux 
       ◦ 3.3 Stockage 
       ◦ 3.4 Virtualisation
       ◦ 3.5 Applications 
       ◦ 3.6 Données 
           ▪ 3.6.1 Risques courants
           ▪ 3.6.2 Techniques Cryptographiques
   • 4 Références

Votre autre collègue relecteur à fait aussi une proposition de reformulation, je vais tacher de modifier en prenant compte de vos différentes remarques. --David De Macedo (discuter) 5 février 2020 à 15:42 (CET)[répondre]

Les enjeux et contraintes du Cloud Act[modifier le code]

Pour revenir au domaine juridique, vous n'évoquez pas les enjeux et contraintes (notamment pour les fournisseurs de services étrangers) liées au Cloud Act adopté aux États-Unis en 2018, ne serait-il pas pertinent d'y faire mention dans votre article ? Je pense que cette loi fédérale pourrait être mentionnée dans la section "Vie privée et Confidentialité" discutée précédemment.

Je peux en effet ajouter un paragraphe qui indiquerait que la vie privée et confidentialité ne sont pas vraiment respectées avec cette loi. Mais c'est un avis personnel, il faudrait que je trouves des sources sur lesquelles m'appuyer, en avez vous trouvez ? --David De Macedo (discuter) 5 février 2020 à 15:59 (CET)[répondre]

Langue des images[modifier le code]

Votre article est rédigé en français et vous utilisez à plusieurs reprises des images en anglais.

En effet mais pas simple de trouver des images en Français et libre de droit. --David De Macedo (discuter) 5 février 2020 à 16:01 (CET)[répondre]

Monitoring et journalisation[modifier le code]

Dans cette partie, vous faites références à des techniques à mettre en place pour superviser une infrastructure Cloud, vous auriez pu ajouter des références vers les systèmes de détection d'intrusion ainsi que sur les logs informatique. De plus, vous auriez pu citer des exemples de technologies répandues mises en place pour illustrer vos propos.

En effet, aussi, citer en exemples la stack ELK utilisées massivement dans les infra cloud pourrait être intéressante. Je vais essayer de trouver des sources dans ce sens. --David De Macedo (discuter) 5 février 2020 à 16:11 (CET)[répondre]

Techniques Cryptographiques dans les clouds[modifier le code]

Dans cette partie, vous évoquez les techniques cryptographiques utilisées dans les clouds. Ne serait-il pas pertinent de référencer les pages cryptographie symétrique et cryptographie asymétrique afin d'en avoir une définition plus complète et précise que la votre ?

L'article connexe qui renvoi vers la page wikipédia Cryptographie est fait pour ça. --David De Macedo (discuter) 5 février 2020 à 16:14 (CET)[répondre]

Ajout de références[modifier le code]

Les sections suivantes manquent de références pour être des parties à part entières :

- Au niveau du stockage
- Risques courants liés à la sécurité des données dans le cloud

Section : Au niveau du stockage[modifier le code]

Cette sous section appartient à la section "Sécurisation infrastructures cloud", je pense que vous pourriez l'intégrer dans la sous section "sécurité des données" (manquant elle-même de références) pour étendre vos recherches sur la sécurité du stockage des données, notamment les techniques mises en place pour assurer la préservation des données personnelles. Je pense que ces articles pourraient vous aider à développer cela :

(en) Seny Kamara et Kristin Lauter, « Cryptographic Cloud Storage », Financial Cryptography and Data Security,‎ 2010, p. 136-149 (ISBN 978-3-642-14991-7, DOI 10.1007/978-3-642-14992-4_13)

(en) Raluca Ada Popa, Jacob R. Lorch, David Molnar, Helen J. Wang et Li Zhuang, « Enabling Security in Cloud Storage SLAs with CloudProof », 2011 USENIX Annual Technical Conference,‎ 2011

(en) L. Arockiam et S. Monikandan, « Data Security and Privacy in Cloud Storage using Hybrid Symmetric Encryption Algorithm », International Journal of Advanced Research in Computer and Communication Engineering, vol. 2,‎ 2013, p. 3064-3070 (ISSN 2278-1021)

Le stockage pour moi est une notion suffisamment importante pour mériter sa section. Je suis d'accord par contre sur le fait qu'elle manque de référence. Je vais regarder ce que vous avez trouvé. --David De Macedo (discuter) 5 février 2020 à 16:28 (CET)[répondre]

Section : Menaces les plus communes sur les Infrastructures Cloud[modifier le code]

Dans cette section, vous parlez d'attaques externe. Je pense que vous auriez du également développer les attaques interne à une infrastructure cloud (présence d'un utilisateur malveillant du service). Ces attaques peuvent avoir plusieurs directions d'attaques : de l'intérieur vers l'extérieur, et de l'intérieur vers l'intérieur. Je pense que l'article suivant devrait vous aider à développer ce type de menace.

(en) Adrian Duncan, Sadie Creese et Michael Goldsmith, « Insider Attacks in Cloud Computing », 2012 IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications,‎ 2012, p. 857-862 (ISBN 978-0-7695-4745-9, DOI 10.1109/TrustCom.2012.188)

En effet, cela peut être vue comme du sabotage d'ailleurs. Je vais regarder la source que vous indiquez. --David De Macedo (discuter) 5 février 2020 à 16:32 (CET)[répondre]

Section : Tests de vulnérabilité et d'intrusion[modifier le code]

Dans cette section, vous intégrez une image de Kali Linux mais vous n'en faites pas mention dans l'article. Pourriez-vous détailler la pertinence de cette image dans l'article ?

Merci pour le remarque, je viens d'ajuter un petite introduction dans l'utilisation de Kali Linux dans le contexte des testes de vulnérabilité. --Rouben Sefilian (discuter) 6 février 2020 à 09:52 (CET)[répondre]

Syntaxe des références[modifier le code]

Vos références vers les autres pages ne devraient pas comporter de majuscule pour respecter la syntaxe des phrases françaises. Pour cela, vous pouvez utiliser la syntaxe suivante [[Nom réel de l'article|Ce qui va apparaître]].

Theo.mainguet 02 Février 2020 à 18:49 (CET)

Merci, je vais modifier les références dans ce sens. --David De Macedo (discuter) 5 février 2020 à 16:34 (CET)[répondre]

Merci, on vient de modifier les liens, c'etait une bonne idée. --Rouben Sefilian (discuter) 6 février 2020 à 15:46 (CET)[répondre]