L’informatique en nuage modifie la responsabilité des chefs de l’informatique du gouvernement fédéral à l’égard de la gestion des centres de données, et la porte plutôt sur la gestion des services d’informatique en nuage, plus particulièrement la sécurité infonuagique, même si ces services proviennent de l’externe. Par conséquent, les chefs de l’informatique doivent surveiller attentivement les contrôles de sécurité qui accompagnent l’infrastructure en nuage pour l’hébergement Web. Le meilleur moyen d’atténuer le risque est de chercher les contrôles offrant le plus haut degré de sécurité offert dans le nuage et de s’assurer que tous les contrôles sont certifiés par le FedRAMP*, ou par une Authority to Operate (ATO) de la GSA jusqu’à ce que les fournisseurs de services en nuage soient certifiés par le FedRAMP.

Malgré cela, pour réduire les coûts, certains programmes se procurent des services en nuage de base (connus dans les accords d’achat général de la GSA sous le nom de Lot II Virtual Machines, ou VM) qui fournissent seulement des contrôles de sécurité au niveau de l’hyperviseur et omettent des mesures essentielles conçues pour protéger le système d’exploitation (SE). Le Information Security and Identity Management Committee (ISIMC) a déterminé douze contrôles, la plupart au niveau du système d’exploitation, qui, lorsqu’ils sont insuffisants, entraînent 85 % des intrusions. Certains programmes se procurent des contrôles additionnels pour passer à l’infonuagique, mais ces contrôles ne sont pas intégrés ni validés dans le processus automatisé d’approvisionnement en nuage, et peuvent ne pas être déployés uniformément.

La réalité est que les contrôles de sécurité relatifs à l’hébergement Web en nuage ne sont pas tous équivalents, de sorte que les chefs de l’informatique doivent se demander :

• les contrôles sont-ils tous pleinement intégrés? Même si les programmes délèguent bon nombre des contrôles FISMA aux fournisseurs de services en nuage, le processus d’approvisionnement ne tient souvent pas compte de l’intégration des contrôles dans la posture de sécurité de l’organisme. Pour la plupart des architectures, le fournisseur s’occupe des intrusions dans le réseau alors que le programme ou l’intégrateur s’occupe du journal en mode hôte et de la surveillance du système de détection d'intrusion au niveau de l'hôte. Dans ce cas, aucune équipe n’a une connaissance adéquate de la situation. Toutefois, lorsque les contrôles sont intégrés, un centre unique des mesures de sécurité et d’intervention en cas d’incident permet d’avoir un portrait complet et vérifié de la sécurité de l’hôte et du réseau, et est mieux équipé pour assurer une défense proactive contre les attaques.
• les frontières des responsabilités sont-elles clairement définies? Même lorsque le processus d’approvisionnement requiert que les fournisseurs de services en nuage et les intégrateurs déploient des contrôles NIST 800-53*, les frontières entre les applications et l’infrastructure peuvent être mal définies ou enfouies dans des petits caractères, tout comme la responsabilité à l’égard des contrôles, notamment la numérisation, la sauvegarde et la planification des mesures d’urgence. Des mesures de protection en mode hôte peuvent être déployées et envoyées par courriel aux personnes-ressources, qui ne sont pas en mesure de corréler les évènements ou de comprendre les répercussions. Les principales applications demeurent bien sécurisées lorsqu’il est possible de corréler les évènements au moyen d’analyses en temps réel par des professionnels chevronnés en matière de sécurité. Mot clé
• les contrôles sont-ils tous validés? Le FedRAMP Service Mark (SM) certifie qu’un fournisseur de services en nuage a fait l’objet d’un processus rigoureux d’évaluation de la sécurité, validé par un tiers, afin de vérifier que les contrôles sont testés et intégrés, et qu’ils respectent les frontières de l’évaluation. Encore une fois, pour les VM, cela comprend seulement le niveau de l’hyperviseur. En général, l’infonuagique donne des contrôles aux utilisateurs qui, habituellement, ne fournissent pas l’infrastructure et qui, souvent, ne comprennent pas toutes les exigences de la posture de sécurité du système. Les contrôles de sécurité automatisés réduisent ces risques.

Les programmes des organismes peuvent obtenir une valeur optimale lorsque la posture de sécurité de l’informatique en nuage fait l’objet d’une approche globale de la part de leur fournisseur (sauf pour ce qui est des contrôles particuliers aux applications, bien entendu). Le service d’hébergement Web en nuage de CGI* offre des contrôles entièrement intégrés. En tant qu’unique fournisseur d’infonuagique ayant une ATO permanente pour ce service, CGI propose des contrôles qui ont été validés par des vérificateurs et qui sont cohérents, de façon à fournir une posture de sécurité solide grâce à une surveillance continue. Même pour ce qui est des contrôles externes à la frontière, nous utilisons un scanneur de vulnérabilité pour revérifier que les contrôles d’application sont déployés adéquatement.

Nos services comprennent également la sécurité du SE et de nombreux contrôles essentiels relevés par l’ISIMC, comme la correction de programme, le scanneur de vulnérabilité, la surveillance des intrusions dans le SE et le renforcement de la sécurité du SE. Les contrôles sont automatisés en vue de réduire le risque. Cependant, comme la sécurité infonuagique ne peut pas être entièrement automatisée, nous employons également des professionnels hautement qualifiés qui évaluent constamment notre posture de sécurité et qui assurent une protection contre les menaces qui sont en constante évolution. 

*en anglais