Data News a rencontré Stephan Hadinger, Head of Architecture chez Amazon Web Services, pour parler sécurité. La sécurité qui, et cela ne vous étonnera pas, est, selon AWS, meilleure lorsqu’on la fait tourner dans le nuage. De préférence même de manière automatisée: ‘Les nouveaux administrateurs, ce sont les lignes de code’.
La sécurisation des données professionnelles a de tout temps été un défi et depuis l’entrée en vigueur du GDPR, le défi est en outre associé à un sérieux coût, lorsque quelque chose cloche. Cela ne doit pas vous empêcher de vous tourner vers le nuage, selon Stephan Hadinger, Head of Architecture chez Amazon Web Services. “Nous ajoutons constamment de nouvelles fonctions de sécurité”, explique-t-il. “Nous sommes certifiés ISO 27001 par exemple, mais nous nous sommes aussi adaptés au GDPR et à toute une série de prescriptions légales et réglementaires.”
Et ce citer l’exemple de PCI DSS, une certification dont a besoin une entreprise pour stocker un numéro de carte de crédit. “Il s’agit là d’une certification difficile à obtenir, mais elle est intégrée par défaut à nos services. Quand des données sont stockées, cela se fait chez nous automatiquement d’une façon qui répond à la certification PCI DSS. Si je crée un répertoire pour mes photos personnelles, il est certifié PCI DSS, parce que nous ne pas savons ce qu’il contient.”
A chacun sa responsabilité
Il s’agit là d’une disparité sur laquelle Hadinger insiste régulièrement et qu’on ne rencontre pas directement chez les concurrents tels Google ou Azure: AWS ne touche pas au nuage des clients, mais cela signifie aussi qu’il en est lui-même responsable. “Nous sécurisons le nuage”, déclare Hadinger. “Nous sommes responsables des bâtiments, des serveurs. Nous veillons à la redondance, etc. Les clients, eux, sont responsables de ce qui se passe à l’intérieur de leur nuage. Ils sont les administrateurs de leurs machines et peuvent choisir le système d’exploitation sur les serveurs. Ce qui se passe dans le nuage, c’est de leur ressort, car nous n’avons pas accès aux données des clients. Il arrive que ces derniers considèrent le nuage comme une forme d’externalisation, mais c’est faux. Ils y font ce qu’ils veulent et en assurent pleinement le contrôle. Nos collaborateurs ne peuvent accéder aux données stockées sur les serveurs.”
Nous sécurisons le nuage, et les clients sont responsables de ce qui se passe à l’intérieur de leur nuage.
Les clients choisissent aussi où leurs données sont stockées. “Nous disposons de plusieurs zones”, affirme Hadinger. “Ce sont des grappes de centres de données qui sont redondantes dans un pays déterminé, mais si le client choisit une zone dans laquelle ses données doivent se trouver et satisfaire par exemple aux règles GDPR, nous ne les déplaçons pas.”
Qu’en est-il des erreurs humaines ou autres? AWS utilise toutes sortes de fonctions d’automatisation, qui doivent veiller à ce que tout se déroule parfaitement dans les règles. “Les nouveaux administrateurs, ce sont les lignes de code”, ajoute Hadinger.
L’un des services d’automatisation les plus intéressants dans ce sens s’appelle Config. Il s’agit en l’occurrence d’un service de contrôle qui vérifie en permanence la configuration du software ‘cloud’. “On automatise ainsi par exemple la mise en conformité”, précise Hadinger. “Si une nouvelle ressource est stockée dans la base de données, il est par exemple possible de paramétrer dans Config qu’elle doit être cryptée. On peut aussi permettre aux clients de choisir eux-mêmes si une ressource doit être cryptée. Dans des environnements plus stricts, elle sera peut-être directement supprimée. La solution est puissante, car ce n’est pas un audit que l’on effectue une fois par semaine. Elle tourne en continu et résout un problème en quelques secondes. Pour chaque écart, le client est automatiquement averti.”
Notre philosophie consiste à crypter tout: s’il s’agit de données non-publiques, cryptez-les tout simplement.
De plus, AWS propose également une série de services et de fonctions avec lesquelles les clients peuvent sécuriser leur nuage. Tout cela repose sur l’automatisation et sur un cryptage poussé des données. “Notre philosophie consiste à crypter tout: s’il s’agit de données non-publiques, cryptez-les tout simplement. Cela n’a quasiment aucun impact sur le coût ou sur les prestations. Pour les centres de données sur site, le cryptage représente un gigantesque projet, alors que chez nous, c’est un non-événement.”
Toujours selon la philosophie voulant que ‘chacun est libre de son choix’, les règles pour Config sont élaborées en grande partie par les entreprises elles-mêmes. “Sur Github, nous avons mis une cinquantaine d’exemples de la façon d’aborder ces règles”, ajoute encore Hadinger. “Nous le voulions sciemment plutôt par exemple que d’opter pour un ‘glisser-déposer’ ou un menu déroulant, afin que le client puisse ajouter lui-même son propre code.” Les entreprises peuvent ici demander ou non l’aide des ‘solution architects’ d’AWS.
Public ou pas
Pour AWS, apprend-on, les failles sont généralement dues à une erreur humaine dans les entreprises mêmes. Cela se vérifie une fois encore, lorsque nous interrogeons Hadinger sur l’incident survenu chez Spyfone. En août, des photos et d’autres données sensibles avaient été dévoilées, lorsque le répertoire S3 de l’entreprise de spyware apparut en ligne. S’il existe autant de possibilités de sécurité, comment est-ce possible?
“Le temps est venu pour une démonstration!”, réplique Hadinger, qui crée séance tenante un nouveau répertoire S3 à l’écran. “Nos répertoires sont par défaut privés”, indique-t-il. “Le client souhaite peut-être rendre quelque chose public, mais nous veillons à ce que tel ne soit pas le cas par défaut.” Quiconque entend quand même ouvrir un dossier, se heurte à quelques obstacles du genre ‘Etes-vous certain?’, et voit aussi apparaître en plusieurs endroits de petits labels en orange vif portant le terme ‘public’.
Cela veut dire qu’il est question d’une erreur qui aurait très aisément pu être évitée par l’entreprise même. “Il y a plusieurs façons de rendre quelque chose public”, explique Hadinger. “C’est possible via la pratique du répertoire ou en ajoutant un code spécifique.” Les contrôles automatisés vérifieront le code pour savoir si la nouvelle pratique signifie que le répertoire est public ou pas. “On considère quelque chose comme public, si les utilisateurs peuvent l’invoquer sans se connecter, et sans devoir deviner vos noms de fichier. Ce que vous pouvez faire, c’est rendre public un seul fichier spécifique. Nous n’allons alors pas labelliser tout le répertoire comme étant public, mais vous devrez entreprendre quelques actions supplémentaires pour le permettre.”
Crypter tout, cela a un sérieux coût, mais si on le fait sur du matériel alloué, le coût en vitesse est négligeable.
En outre, AWS propose (moyennant paiement) encore quelques fonctions telles Macie. Ce logiciel scanne automatiquement les fichiers à la recherche de données sensibles. “S’il y a par exemple dans un fichier de nombreuses chaînes de caractères qui ressemblent à des noms, une alarme sera émise. Le personnel de sécurité sera ainsi averti si quelqu’un transfère quelque chose dans un répertoire qui a été rendu public correctement, mais où ces fichiers ne sont peut-être pas les bienvenus.”
Enfin, il y a encore la question de la protection ‘latérale’. Lors d’OracleWorld, le CTO Larry Ellison s’était encore vanté que son entreprise était la seule à proposer un nuage, où les données des clients sont complètement isolées. “C’est là le problème fondamental du nuage”, avait souligné Ellison.
C’est faux, selon Hadinger: “L’isolation des machines virtuelles est le coeur de notre service. Nous procédons ainsi depuis douze ans déjà. L’année dernière, nous avons encore déployé notre nouvel hypervisor. Nous y avons notamment transféré vers le CPU l’émulation des ‘devices’, quelque chose qui se fait normalement dans le logiciel. Cela offre l’avantage d’une couche séparée et pour un supplément de sécurité, nous utilisons des puces spéciales d’Annapurna (une petite entreprise israélienne qu’Amazon a rachetée en 2015, ndlr.). Cela réduit le nombre de vulnérabilités CPU classiques, telles Spectr. Une sécurité supplémentaire que nous incorporons, consiste en le stockage direct sur la puce des clés de cryptage, afin que personne ne puisse y accéder. De plus, le cryptage même s’effectue sur cette puce, ce qui améliore les performances. Crypter tout, cela a un sérieux coût, mais si on le fait sur du matériel alloué, le coût en vitesse est négligeable.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici