Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

Qualys MagazineDemandez aux ExpertsLe coin des RSSIQualys Community

Main Content

Left content

Mobilité et identité, les autres défis du Cloud

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

cloudcomputing

San Francisco, RSA Conference – Les professionnels du Cloud se réunissaient en marge de la conférence RSA à l’occasion du Cloud Security Alliance Summit, le rendez-vous annuel de la Cloud Security Alliance.

Une table ronde modérée par Philippe Courtot, CEO de Qualys et maître de cérémonie d’un jour, a réuni un panel d’experts de l’industrie pour un point de situation sur la sécurité du proverbial nuage. Et curieusement – ou preuve peut-être de la maturité croissante du sujet – il a finalement moins été question de la sécurité « du Cloud » en tant qu’entité abstraite que de celle de briques très concrètes que sont les terminaux mobiles et, même, le DNS.

« Les terminaux mobiles seront indissociables du Cloud« , affirmait ainsi David Lingenfelter, RSSI de FiberLink. Pas uniquement parce que les applications mobiles vivent déjà dans le nuage (sur les places de marché officielles ou privées). Mais avant tout parce que le mobile semble destiné à devenir l’outil d’authentification privilégié du Cloud.

« Puisqu’il est maintenant souvent plus simple et moins cher de déployer des applications dans le Cloud, on assiste à une explosion des formulaires d’authentification à base de mots de passe« , observe Patrick Harding, Directeur Technique de Ping Identity. Or, poursuit le CTO, dans la majorité des cas ces services utilisent l’adresse email de l’utilisateur comme identifiant. Et, toujours selon Harding (qui cite pour cela une étude menée par Google qu’il nous été impossible de retrouver), lorsque les utilisateurs doivent choisir un mot de passe pour un tel identifiant ils optent bien souvent pour le même sésame que celui du compte email en question. Ce qui affaiblit évidemment considérablement la robustesse de l’ensemble !

Dans ce contexte il est bien entendu facile de préconiser une pincée d’authentification forte. Mais encore faut-il être en mesure de déployer des jetons d’authentification à une large population, souvent bien peu maîtrisée. Certaines banques ont bien tenté l’expérience, ainsi que des éditeurs de jeux vidéo en ligne. Mais d’une manière générale cette solution n’est pas adaptée aux périmètres très larges.

Le smartphone, en revanche, est le jeton idéal : il est déjà largement déployé et relativement bien lié à l’utilisateur par l’intermédiaire de son opérateur télécom (nécessité de facturation oblige !). En outre de nombreuses applications d’authentification forte existent déjà pour la plupart des systèmes d’exploitation mobiles. Selon les experts présents, il s’agit donc de l’outil d’authentification idéal pour le Cloud. A tel point, d’ailleurs, que le panel n’est pas en reste pour imaginer des solutions d’authentification à trois facteurs, incluant outre le téléphone et un code PIN, un contrôle biométrique sur le terminal (certains mobiles, dont le Motorola Atrix, intègrent déjà un capteur digital).

Et pourquoi pas, imagine Philippe Courtot, un test ADN lorsque la technologie le permettra ? « Entièrement d’accord, à condition que la donnée biométrique reste sur le terminal et ne soit pas centralisée dans le Cloud« , observe l’un des membres du panel.

« Mais attention : la gestion des mobiles devient alors un sujet critique !« , fait remarquer Matt Johansen, de WhiteHat Security. On pensait déjà ne pas pouvoir échapper à la gestion de flottes mobiles dans le cadre du BYOD, voilà que le Cloud enfonce le clou !

Les intervenants sont toutefois d’accord pour dire que tous les services ne nécessiteront pas le même niveau de sécurité, et que différentes procédures d’authentification pourront bien entendu cohabiter en fonction de la criticité de l’application demandée. Mais le téléphone mobile, lui, jouera probablement toujours un rôle majeur.

Bien entendu le panel a rappelé que la question de l’identité va au delà du terminal mobile : « Plus nous utilisons le Cloud plus la question de l’identité devient critique« , rappelle Patrick Harding. Et la solution ne pourra être uniquement technique. Philippe Courtot rappelle d’ailleurs à ce sujet les travaux du Jericho Forum, très actif sur la question des identités et de la confiance en ligne, et qui vient de publier ses « commandements de l’identité » (et c’était d’ailleurs également le thème du dernier CSO Interchange Londres).

Dernière brique rapidement évoquée par le panel, enfin : le DNS. Déjà critique, l’infrastructure DNS le devient plus encore lorsqu’il s’agit de rediriger le trafic de l’entreprise des terminaux de l’entreprise vers un service de sécurité dans le nuage en changeant leurs entrées DNS (ce qui est, par exemple, le cas avec des services de nettoyage des flux tel Zscaler). Rien de très nouveau ici, mais peuvent se poser des questions de responsabilités différentes.

Cette table ronde aura ainsi mis en lumière un triptyque de la sécurité dans le nuage bien plus concret que les années précédentes  : les applications et l’infrastructure technique du nuage, certes, mais aussi le terminal mobile et le DNS apparaissent désormais étroitement liés, et ça va mieux en le disant !

 

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

1 Star2 Stars3 Stars4 Stars5 Stars
2 avis - 4,50 / 5

Participez ou lancez la discussion!

Right content

En bref

Newsletter gratuite

Anti-Corruption France 2014

Suivez-nous…

A lire également

ITIL ou ISO 27001 : que privilégier ?
Darwin et la sécurité
Traiter la fraude interne par le bon sens

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.


Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.


BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.


Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web