Discussion:Sécurité du cloud

Cet article est indexé par les projets Sécurité informatique, Informatique et Télécommunications.

Les projets ont pour but d’enrichir le contenu de Wikipédia en aidant à la coordination du travail des contributeurs. Vous pouvez modifier directement cet article ou visiter les pages de projets pour prendre conseil ou consulter la liste des tâches et des objectifs.

Évaluation de l’article « Sécurité du cloud »

Avancement	Importance	pour le projet
Bon début	Élevée		Sécurité informatique (discussion • critères • liste • stats • hist. • comité • stats vues)
	Moyenne		Informatique (discussion • critères • liste • stats • hist. • comité • stats vues)
			Télécommunications (discussion • critères • liste • stats • hist. • comité • stats vues)

Cet article comporte une liste de tâches suggérées :

modifier • suivre • rafraîchir • aide

• approfondir les parties
• relecture globale du document
• ajout de sources

iox59  (d · c · b) Parties 2 & 3

Kajusska  (d · c · b) Intro, Parties 1 & 4 & 5

Bonjour, vous listez les différents types de cloud en début de page. Les points qui suivent concernent tous types de cloud? Christianarnold67 (d) 8 janvier 2013 à 18:30 (CET)[répondre]

Bonjour, oui cela concerne l'ensemble des services disponibles sur le cloud. Nous avons listé les principaux services cloud :car nous ne pouvons pas tous les lister et ce n'est pas le sujet de la page

iox59

Ok, si cette page traite de tous ces types de cloud, je pense qu'il serait intéressant de le préciser.

Vous faites brièvement allusion à la "Cloud security alliance" sans mentionner aucune référence. Il semble pourtant que leur document https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf pourrait être une aide précieuse pour le plan de cette page?

Dans la partie 3, "Les composants de sécurité tel que les pare feu ou les systèmes de détection d'intrusion, ne sont pas adaptés pour détecter les attaques distribuées[20].Ces attaques sont donc sub-divisées en sous attaques afin d'être indétectable par de tel système ::de sécurité[20]" Ce n'est pas très clair, pouvez-vous expliquer brièvement ce qu'est une attaque distribuée? Par ailleur le document de référence est de 2012 alors que la référence est notée 2010.

Christianarnold67 (d) 11 janvier 2013 à 18:37 (CET)[répondre]

La page traite en effet de tout les types de coud, nous pourrions préciser cela ou tout simplement retirer la liste des types :de cloud pour éviter la confusion? Le document https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf est présent dans :les liens externes mais il n'y a pas de référence vers celui-ci, je vais corriger ça. Nous nous somme inspirés du contenu du :guide sans reprendre son plan, en mettant en avant: Les grand problèmes de sécurité, les normes, les attaques connues, :l'impact économique et l’historique. Dans le contenu de notre article on retrouve bien la section 2 "Governing the cloud" et :une partie de la section 3 "Operating in the cloud" par contre l'architecture du cloud à été laissé de coté. Avez vous des :suggestions concernant le plan ? Des parties à affermir ou synthétiser ?

Florian

Si vous parlez de tous les types de cloud, je pense qu'il faudrait faire une petite partie sur la sécurité de chaque type de cloud ou sinon effectivement supprimer la partie mais il manquerait quelque chose.

D'après ce que j'ai vu, ce que l'on trouve dans l'intro, on doit le voir dans l'article.

Stephane.Cadoret (d) 27 janvier 2013 à 14:33 (CET)[répondre]

Bonjour, je trouve que votre page contient beaucoup d'informations, mais au niveau du plan, je verrais bien une construction plus progressive, comme par exemple, dans un premier temps, mettre en balance les avantages du cloud et les risques spécifiques au cloud, ensuite dans un deuxième temps, lister les risques et les menaces, en quoi elles sont particulières au cloud,... et ensuite montrer comment on peut palier à ces menaces (outils, bonnes pratiques, architecture,...) puis décrire ce qui peut être mis en place pour garantir aux clients du cloud que leur données sont en sécurité (normes, sla, certifications, audit,...) Je pense qu'il faut aussi faire attention, lorsque vous décrivez le sla. Il occupe le quart de la page. Ceci montre que vous lui accordez une grande importance, mais il faudrait peut être lui consacrer une page sur wikipedia, et sur votre page indiquer ce qui doit évoluer dans un sla pour prendre en compte les problèmes de sécurités liés au cloud. Christianarnold67 (d) 19 janvier 2013 à 14:45 (CET)[répondre]

Je trouve également que la partie la plus importante, à mettre en premier, est la sécurité du cloud avec les avantages et les risques. Des documents existent sur IEEE.

Stephane.Cadoret (d) 27 janvier 2013 à 14:33 (CET)[répondre]

Merci pour vos remarques je suis tout à fait d'accord avec vous. La partie SLA est beaucoup plus importante cause d'un problème de binôme. Mais il y a en effet beaucoup à développer sur les autres parties.Les risques du cloud sont exposé justement mais il manque les avantages en effet.

Iox59 (d) 6 février 2013 à 19:50 (CET)[répondre]

Bonjour,

J'ai retiré les balises </br> du texte. Elles représentaient une mise en forme inutile qui servaient surtout à cacher le style télégraphique de l'écriture. Les seuls lieu ou un saut à la ligne est le bienvenu sont les fins de paragraphes, et wikipédia les insèrent automatiquement lorsque vous laissez une ligne blanche. Wikipédia vous invite à vous concentrer sur le fond et l'intelligibilité de votre propos plutôt que sur la forme du texte... et c'est une bonne chose à mon avis.

J'ai aussi ajouté un « ^{[style à revoir]} » devant une tournure de phrase que je juge vraiment trop éloignée du Wikipédia:Style encyclopédique. Je vous laisse reformuler l'ensemble de manière plus approprié.

Gilles.Grimaud (d) 28 septembre 2012 à 11:02 (CEST)[répondre]

• En relisant l'article, j'ai trouvé un certain nombre de faute d'orthographe, un petit coup de correcteur d’orthographe et ça devrait être bon.

• N’oubliez pas les espaces derrières les points.

• Je ne sais pas quel est votre choix sur l’orthographe de datacenter, par moment on retrouve data center, quelle est la différence ?

• De même pour le mot cloud, parfois on le retrouve avec un « C » majuscule et d’autre fois non. Y a-t-il une différence ?

• J'ai remarqué qu'entre les notes et la biblio, certaines dates ne correspondaient pas (ex: Note 1 2010 -> biblio 2012).

Stephane.Cadoret (d) 27 janvier 2013 à 13:49 (CET)[répondre]

Merci pour ces remarques de typo elles seront corrigées.

Florian

Les corrections sont faites.

merci

Iox59 (d) 6 février 2013 à 19:45 (CET)[répondre]

Bonjour,

Je ne comprends pas bien l'une des phrases qu'il y a dans l'abstract, j'ai fait le tour mais je n'arrive pas à remettre les idées en place, pouvez vous m'éclairer un peu concernant la phrase suivante ?

[Impliquant des concepts tels que la sécurité des réseaux, du matériel et les stratégies de contrôle déployées afin de protéger les données, les applications et l'infrastructure associée du cloud computing.]

Stephane.Cadoret (d) 31 janvier 2013 à 15:27 (CET)[répondre]

voici la version reformulée.

La securité du cloud computing implique des concepts tels que la sécurité des réseaux, du matériel et les stratégies de contrôle déployées afin de protéger les données, les applications et l'infrastructure associée au cloud computing.

Florian

Ok merci, c'est plus compréhensible Stephane.Cadoret (d) 6 février 2013 à 22:05 (CET)[répondre]

Dans la première partie, vous parlez de la sécurité du Cloud en général (sécurité des données, des infrastructures ...), je retrouve effectivement toutes ces informations dans différents documents par contre je ne retrouve pas d'informations concernant les différents projets/architectures qui font la sécurité du Cloud, tel que DS2, TCPS. Pourtant, j'ai trouvé dans un document de Farhan Bashir Shaikh un tableau comparant les diverses études. Cela pourrait etre un plus de donner des exemples de modèle de sécurisation.

Stephane.Cadoret (d) 31 janvier 2013 à 19:06 (CET)[répondre]

Bonjour, en effet c'est un point que je n'ai pas développé mais pourtant indispensable.Merci pour la remarque.

Iox59 (d) 6 février 2013 à 09:26 (CET)[répondre]

J'ai cru remarqué de la redite entre le passage sur le stockage dans Sécurité des données et la localisation des données dans la partie Justice. Il faudrait trouvé une autre information qui pourrait étayé l'un ou l'autre. Stephane.Cadoret (d) 31 janvier 2013 à 19:06 (CET)[répondre]

Oui en effet, j'ai corrigé.

J'ai regroupé l'aspect législatif dans la justice et le cloud, pour la partie stockage j'ai plus axé sur la non connaissance de la localisation des données du client.

Merci pour votre remarque.

Iox59 (d) 6 février 2013 à 09:22 (CET)[répondre]

C'est effectivement moins redondant.

Stephane.Cadoret (d) 6 février 2013 à 22:12 (CET)[répondre]

J'ai lu à plusieurs reprises votre article, pour moi soit la partie sur "l'isolation" est de trop, vu que la première phrase correspondrait plutot à ce que l'on retrouve par la suite dans une partie "attaque et impact du Cloud", la deuxième phrase concernant la virtualisation que l'on retrouve aussi dans le paragraphe suivant de "l'isolation" soit il faudrait étayer cette partie avec une autre explication.

Stephane.Cadoret (d) 31 janvier 2013 à 19:10 (CET)[répondre]

en effet la partie sur l'isolation peut être déplacée dans la partie "attaque et impact du Cloud". Car elle traite essentiellement des attaques possibles.

Florian

Vous ne parlez pas de Cloud privé/public/hybrid, je me pose la question sur ce schéma qui est au niveau de la norme ISO. Que vouliez vous appuyé avec ce schéma ? Ne serait-il pas préférable de le mettre dans la partie sécurité du Cloud ?

Stephane.Cadoret (d) 31 janvier 2013 à 19:13 (CET)[répondre]

En effet, je voulais initialement le mettre dans la norme iso pour appuyer les différences des types de cloud et la difficulté au niveau des normes.

Mais je vais le déplacer je pense également que c'est plus judicieux.Merci

Iox59 (d) 6 février 2013 à 09:10 (CET)[répondre]

Dans la liste des attaques on retrouve les "grands classiques" mais existe t-il des attaques spécifiques au cloud suivant les différents types de service ou quels sont les services les plus soumis aux attaques. Mario.Gaydu (d)05 février 2013 à 19:23 (CET)[répondre]

Dans ce paragraphe , il aurait été intéressant de savoir quelles sont les bonnes pratiques mise en place pour permettre de répondre aux problématiques de confidentialité. Mario.Gaydu (d)05 février 2013 à 19:24 (CET)[répondre]

Je ne comprends pas bien la question. La législation diffère en fonction des pays et des années.

Nous essayons de rester objectif et impartial en rédigeant cette page. c'est pourquoi nous avons évité de faire un guide / bonnes pratique. (Bien que nous parlons en début d'article du "Cloud security alliance" qui lui propose un guide https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf)

Florian

Le SLA n'est pas adapté pour la cloud computing cause de son architecture bien différente des systèmes informatiques précédent.

Cette affirmation n'est pas claire, de quel SLA est-il question? Christianarnold67 (d) 5 février 2013 à 21:21 (CET)[répondre]

Nous parlons spécifiquement du SLA type Cloud comme le spécifie le titre de la partie.

Iox59 (d) 6 février 2013 à 09:11 (CET)[répondre]

Dans le cas ou le contraire n'a pas mis ce type de solution en place, celui ci risque que son infrastructure soit hors service et engendrer des pertes de bénéfices.

Cette phrase est incompréhensible. Pouvez-vous reformuler ? Christianarnold67 (d) 5 février 2013 à 21:21 (CET)[répondre]

En effet merci pour la remarque, je sais pas pourquoi j'ai mis contraire...

j'ai corrigé en: Dans le cas ou le client n'a pas mis ce type de solution en place, il risque que son infrastructure soit hors service et donc des pertes de bénéfices pour celui ci.

Iox59 (d) 6 février 2013 à 18:46 (CET)[répondre]

Cette partie traite spécifiquement des problèmes de clouds de type IAS. Je pense qu'il faut le préciser, et de façon générale dans votre article, on a du mal à situer de quel type de cloud il est question. On ne retrouve pas forcément les mêmes problèmes de sécurité sur les différents types de cloud.Christianarnold67 (d) 5 février 2013 à 21:21 (CET)[répondre]

Dans cette partie nous traitons de (Security as a service) et nous ne faisons pas mention d'IAS. D'ailleurs nous évitons de mentionner un type de cloud pour une problématique de sécurité donnée. Certaine problématiques de sécurités touchent plusieurs type de cloud. Et parfois des solutions ne sont viable que pour un type de cloud en particulier.

Donc lister chaque type de cloud pour chaque problème de sécurité vas rendre notre page difficilement compréhensible et générera beaucoup de répétions.

Le fait que la page traite de tout les types de cloud à d'ailleurs été discuté en début de page. La décision sera de retirer la liste des clouds dans l'introduction. Elle n'y a de toute façon pas sa place :).

Florian

Petite remarque avant d'entamer le rapport de relecture, la discussion avait bien débuté sur l'opportunité d'apporter des précisions aux lecteurs mais c'est dommage on a pas eu assez de temps pour continuer par la suite.

Abstract[modifier le code]

Il est dommage d'avoir une liste des différentes formes de service du cloud computing sans que l'on parle plus loin dans l'article quel type de sécurité il y a dans ces différentes formes de service.

Le schéma associé représente la carte du cloud mais ne parle pas forcément de sécurité.

Sécurité du Cloud[modifier le code]

• Dans la première partie, vous parlez de la sécurité du Cloud en général (sécurité des données, des infrastructures ...), je retrouve effectivement toutes ces informations dans différents documents par contre je ne retrouve pas d'informations concernant les différents projets/architectures qui font la sécurité du Cloud, tel que DS2, TCPS. Pourtant, j'ai trouvé dans un document de Farhan Bashir Shaikh un tableau comparant les diverses études. Cela pourrait etre un plus de donner des exemples de modèle de sécurisation.

• Le schéma "Modèles de sécurité du cloud" est mieux dans cette partie mais il manque comme dit précédemment une information concernant IAAS, SAAS, PAAS, Cloud privé, Cloud public et Cloud hybrid.

L'isolation[modifier le code]

J'ai lu à plusieurs reprises votre article, pour moi soit la partie sur "l'isolation" est de trop, vu que la première phrase correspondrait plutot à ce que l'on retrouve par la suite dans une partie "attaque et impact du Cloud", la deuxième phrase concernant la virtualisation que l'on retrouve aussi dans le paragraphe suivant de "l'isolation" soit il faudrait étayer cette partie avec une autre explication.

Le SLA et le Cloud aujourd'hui[modifier le code]

Le SLA n'est pas adapté pour la cloud computing cause de son architecture bien différente des systèmes informatiques précédent.

Je pense que c'est la formulation de la phrase qui n'est pas correcte. Vous voulez certainement parler du SLA d'aujourd'hui et le Cloud, c'est à dire comparer le SLA d'un service informatique traditionnel et celui que l'on peut appliquer au Cloud? Car en affirmant le SLA n'est pas adapté, on pourrait penser que le SLA est unique. Vous pourriez dire : Les termes habituellement couvert par le SLA sont:... Les termes à prendre en compte dans un environnement Cloud sont: ... Vous pourriez également faire un lien interne vers l'article wikipedia traitant ce sujet : Service_Level_Agreement.

Les failles, les risques et les solutions à apporter[modifier le code]

Il me semble qu'il serait intéressant pour synthétiser la sécurité du cloud de lister les failles connues, et, pour chacune de ces failles, décrire les risques encourus et les solutions connues à mettre en œuvre pour combler ces failles. Je pense que la grosse partie des éléments se trouvent dans votre article mais pas sous cette forme.

Remarques d'ordre générale[modifier le code]

Cet article décrit un certain nombre de problèmes de sécurité que l'on risque de rencontrer dans une architecture de type cloud, et c'est son but. Par contre le principe même du cloud apporte des éléments de sécurité qui lui sont particulier, comme un taux de disponibilité très élevé, des possibilités de sauvegarde d'images complète des machines virtuels, la dimensionnement dynamique, etc... Ceci n'est pas évoqué dans l'article. On ne trouve pas non plus les avantages économiques qu'apportent les solutions de type cloud, ces avantages peuvent rendre acceptable certains risques et ont de ce fait toute leur place dans cet article.

Par ailleurs, les articles de référence sont peu nombreux, à peine une dizaine.

Remarques concernant l'orthographe[modifier le code]

Une grande partie des fautes a été corrigé mais il en reste quelques unes dont celles ci :

• Les accents sur "sécurité" , "Modèles" , "exécution" et "système"
• "Dans le cas où des données violent la loi de l’Etat où elles résident il y a un risque potentiel de saisie par le gouvernement"
• "Le SLA n'est pas adapté pour la cloud computing cause de son architecture bien différente des systèmes informatiques précédents."
• "Ceci inclut la mise en place et sécurisation d'un VPN, la bande passante maximale possible et les outils d'analyses du trafic sur le réseau"
• "Le prestataire traditionnel est soumis à des audits et des certifications."
• "si toutefois le fournisseurs n'inclut pas dans son offre la réplication ou la sauvegarde des données"
• "Les solutions de sécurité actuelle ne sont pas adaptées pour ce type d'attaque sur une telle infrastructure"
• "Les données du fournisseur ne sont donc pas récupérables et deviennent la propriété du créancier du fournisseur de cloud"

Les relecteurs : Stephane.Cadoret (d) 6 février 2013 à 22:40 (CET) - -Christianarnold67 (d) 7 février 2013 à 00:04 (CET)[répondre]