EXPOSE DE CLOUD COMPUTING

CHAPITRE 11 : LA SECURITE DANS LE CLOUD

Filière : Informatique

Niveau : Master 1

Option : Réseaux et Services Distribués

Rédigé et présenté par :

Matricules Noms Prénoms

CM-UDS-20SCI1882 ATABONG Willy
CM-UDS-24SCI YUMKAM SIMO Elvira Audrey
CM-UDS-20SCI0322 FOUELEFACK Kelie Syntia
CM-UDS-22SCI1176 NGO KANDA Sabine Francine
Alexandrie

Sous la supervision de :

Pr KENGNE T. Vianney

Année académique 2024-2025

 SOMMAIRE

SOMMAIRE ......................................................................................................................... i
LISTES DES FIGURES ET DES TABLEAUX ................................................................. ii
CLOUD ET SECURITE : UNE ALLIANCE NEBULEUSE ........................................... iii
INTRODUCTION GENERALE..........................................................................................1
I) GENERALITES SUR LE CLOUD ..............................................................................2
II) LA CONFIDENTIALITE, L'INTEGRITE ET LA DISPONIBILITE DES
DONNEES DANS LE CLOUD : UNE EXIGENCE CRUCIALE POUR LA SECURITE
4
1) La Confidentialité des Données dans le Cloud..............................................................4
2) L'Intégrité des Données dans le Cloud..........................................................................4
3) La Disponibilité des Données dans le Cloud.................................................................5
III) PROBLEMES ET RISQUES DE SECURITE DANS LE CLOUD .........................6
1) Problèmes de sécurité dans le cloud .............................................................................6
2) Les risques de sécurité du Cloud ................................................................................ 10
IV) NORMES ET STRATEGIE DE SECURITE DU CLOUD .................................... 12
V) STANDARDS DE SECURITE DANS LE CLOUD ............................................... 13
VI) ETUDE DES MECANISMES DE SECURITE DISPONIBLES ........................... 15
1) Bonnes pratiques pour assurer la sécurité des données et des applications dans le cloud
15
2. Solutions recommandées pour renforcer la sécurité du cloud ......................................... 17
VII) QUELQUES SOLUTIONS ..................................................................................... 19
1) Plateforme de confiance basée sur le TPM .................................................................... 19
2) Cryptage des données : applications et limites............................................................... 20
3) Le HAIL : une solution RAID pour le Cloud................................................................. 22
CONCLUSION GENERALE ............................................................................................ 25
REFERENCES ................................................................................................................... 26
TRAVAUX DIRIGES : SECURITE DANS LE CLOUD ................................................. 27

i
 LISTES DES FIGURES ET DES TABLEAUX

Liste des figures

Figure 1 : Eléments fondamentaux du cloud computing .........................................................2

Figure 2 : Causes de la perte de données ................................................................................7
Figure 3 : Attaque par déni de service ....................................................................................9
Figure 4 : SAML et OAuth ..................................................................................................14
Figure 5 : Une puce TPM .................................................................................................... 19
Figure 6 : Mécanisme d’accès dans une plate-forme de confiance ........................................ 20
Figure 7 : La répartition d’un fichier selon le modèle HAIL................................................. 23
Figure 8 : La répartition d’un fichier selon le modèle HAIL et en utilisant le code de dispersion
............................................................................................................................................. 24

ii
CLOUD ET SECURITE : UNE ALLIANCE
NEBULEUSE

iii
 INTRODUCTION GENERALE

La sécurité dans le cloud désigne l'ensemble des pratiques, technologies et stratégies mises en
place pour protéger les données, applications et infrastructures hébergées sur des serveurs
distants, dans des environnements dits « cloud ». Ce type de sécurité s'assure que les
informations sont accessibles uniquement par les utilisateurs autorisés et que les ressources sont
protégées contre les menaces et les risques liés à l'hébergement sur Internet.

Avec l'adoption croissante des services cloud par les entreprises et les particuliers, la question
de la sécurité devient une priorité. En effet, des millions de données sensibles sont désormais
stockées dans des centres de données distants, rendant leur protection essentielle. Les modèles
de cloud public, privé et hybride, bien que vantés pour leur flexibilité et leur efficacité,
présentent des défis de sécurité spécifiques, liés à l'accès, à la gestion des identités, à la
gouvernance et à la conformité.

Malgré les avantages indéniables des solutions cloud, la sécurité demeure un obstacle majeur à
leur adoption. Les entreprises doivent se rassurer sur la protection de leurs informations, qu'il
s'agisse de données sensibles, financières ou personnelles. Parmi les risques les plus fréquents
figurent les violations de données, les cyberattaques, les erreurs humaines, les pannes de service
et les failles dans la configuration des systèmes. La problématique réside dans la capacité à
garantir une sécurité optimale tout en maintenant la performance et la flexibilité des services
cloud.

L'objectif de cette étude est d'explorer les enjeux de sécurité dans le cloud, en mettant l'accent
sur les défis spécifiques et les solutions disponibles pour les résoudre. Nous chercherons à
comprendre comment les entreprises peuvent mettre en œuvre des stratégies de sécurité
adaptées et à identifier les bonnes pratiques pour protéger les données dans un environnement
cloud. Nous organiserons notre travail comme suit : Généralités sur le cloud, Identification des
vulnérabilités, des risques et des menaces spécifiques à la sécurité dans le cloud, Historique des
attaques dans le cloud, Étude des mécanismes de sécurité disponibles : présentation des bonnes
pratiques et des solutions recommandées pour assurer la sécurité des données et des
applications, Quelques solutions.

1
 I) GENERALITES SUR LE CLOUD

Figure 1 : Eléments fondamentaux du cloud computing

Le cloud computing, ou informatique en nuage, désigne un modèle de fourniture de ressources
informatiques (serveurs, stockage, bases de données, réseaux, logiciels, etc.) via Internet,
permettant aux utilisateurs d'accéder à ces services à la demande. Ce modèle repose sur une
infrastructure mutualisée et flexible qui offre de nombreux avantages, tels que la réduction des
coûts, la scalabilité, et une plus grande efficacité opérationnelle. Cependant, cette même
architecture distribuée et partagée introduit des défis significatifs, notamment en matière de
sécurité. Dans le contexte de la sécurité, le cloud computing redéfinit les enjeux traditionnels.
Les données et les applications ne résident plus sur des serveurs locaux sous le contrôle direct
des organisations, mais dans des centres de données gérés par des fournisseurs tiers. Cela
soulève des préoccupations liées à la confidentialité des données, à la conformité aux
réglementations, à la gestion des accès et à la protection contre les cyberattaques. Par exemple,
des incidents tels que des violations de données, des attaques par déni de service (DDoS), ou
des erreurs de configuration peuvent avoir des conséquences graves pour les utilisateurs et les
entreprises.

2
La sécurité dans le cloud devient ainsi une priorité incontournable pour garantir la fiabilité, la
disponibilité et l’intégrité des services fournis. Elle s’appuie sur une combinaison de
technologies avancées (cryptographie, authentification multi-facteurs, surveillance des
réseaux), de politiques strictes (gestion des identités, contrôles d'accès), et de bonnes pratiques
(sauvegarde régulière, audit de sécurité). Ce contexte impose également une collaboration
étroite entre les fournisseurs de services cloud et leurs clients pour assurer une répartition claire
des responsabilités en matière de sécurité. Ainsi, bien que le cloud computing offre des
opportunités considérables, son adoption nécessite une vigilance accrue et une approche
proactive pour relever les défis sécuritaires qu’il impose.

3
II) LA CONFIDENTIALITE, L'INTEGRITE ET LA DISPONIBILITE
DES DONNEES DANS LE CLOUD : UNE EXIGENCE CRUCIALE
POUR LA SECURITE

La gestion des données dans un environnement cloud soulève des préoccupations majeures
concernant la confidentialité, l'intégrité et la disponibilité des informations sensibles. En effet,
la sécurité des données n’est pas seulement une question de protection contre les menaces
extérieures, mais aussi de préservation de leur confidentialité et de leur cohérence tout au long
de leur cycle de vie. La nécessité de garantir ces trois principes fondamentaux est essentielle
pour permettre aux entreprises de tirer parti des avantages du cloud tout en assurant une gestion
fiable et sécurisée de leurs données.

1) La Confidentialité des Données dans le Cloud

La confidentialité des données désigne la protection de l’accès à ces informations, garantissant

que seules les personnes autorisées peuvent y accéder. Dans un environnement cloud, la
confidentialité est particulièrement critique en raison de la nature partagée de l’infrastructure et
de la diversité des utilisateurs qui y ont accès. Les entreprises doivent donc mettre en place des
politiques et des mécanismes permettant de restreindre l'accès aux données, comme
l'authentification multi-facteurs (MFA), les contrôles d'accès basés sur des rôles (RBAC), et
des solutions de chiffrement des données tant au repos qu'en transit.

Les législations sur la protection des données personnelles, comme le Règlement Général sur
la Protection des Données (RGPD) en Europe, imposent des obligations strictes aux entreprises
en matière de confidentialité des données. Le respect de ces régulations est essentiel pour éviter
les violations de données et les sanctions associées.

2) L'Intégrité des Données dans le Cloud

L'intégrité des données assure que les informations stockées dans le cloud sont exactes,
cohérentes et non altérées, que ce soit intentionnellement ou par erreur. Toute modification non
autorisée ou accidentelle des données peut avoir des conséquences graves, allant de la perte de
confiance des utilisateurs à des impacts opérationnels et juridiques. Afin de garantir cette
intégrité, les fournisseurs de services cloud mettent en place des mécanismes de vérification et
de validation des données, ainsi que des sauvegardes régulières.

4
Les pratiques telles que la gestion des versions, les contrôles d’intégrité (checksums) et les
audits réguliers permettent d’assurer que les données restent fiables. Par ailleurs, l'application
de politiques de gestion des accès rigoureuses est essentielle pour prévenir toute altération non
souhaitée des données par des utilisateurs malveillants ou mal autorisés.

3) La Disponibilité des Données dans le Cloud

La disponibilité des données désigne la capacité d’un utilisateur ou d’une organisation à accéder
aux données quand cela est nécessaire. Dans le contexte du cloud, où les services sont souvent
critiques pour les opérations quotidiennes, il est primordial que les données soient accessibles
en tout temps, même en cas de panne ou d’incident majeur. La disponibilité est donc étroitement
liée à la fiabilité des infrastructures cloud, avec des systèmes de redondance et de sauvegarde
qui garantissent un accès continu.

Les fournisseurs de cloud mettent en œuvre des solutions comme la réplication des données,
les architectures de haute disponibilité et les plans de reprise après sinistre pour assurer cette
disponibilité. De plus, des contrats de niveau de service (SLA) sont souvent définis pour
spécifier les engagements de disponibilité que les fournisseurs de services doivent respecter.

5
 III) PROBLEMES ET RISQUES DE SECURITE DANS LE CLOUD

1) Problèmes de sécurité dans le cloud

Les avantages du Cloud Computing sont aujourd’hui une évidence. Cependant, devant toutes
les possibilités offertes par ce nouveau concept, il demeure des problèmes dans son adoption,
les plus importants sont :
Multi-locataires :
Les architectures multi-locataires facilite à faire en sorte qu’un logiciel soit capable de gérer un
certain nombre de clients en une seule installation. Au lieu d’installer le logiciel une fois pour
chaque client, ce dernier est capable de créer des environnements virtuels distincts pour chaque
client de sorte à ce que de l’extérieur les autres environnements ne soient pas du tout visibles.
L’architecture multi-locataires a de nombreuses qualités quand il s’agit d’exploiter le logiciel.
Mais cela implique des contraintes auxquelles on ne pense pas forcément au départ.
Lors d’une mise à jour, si une régression est introduite, elle affectera immédiatement l’ensemble
des clients. C’est un risque qu’il faut accepter de prendre, mais il peut être largement réduit en
travaillant sur la qualité du logiciel. De la même façon, il est préférable de mettre à jour un
logiciel à un moment où il est peu utilisé. Un logiciel multi-tenant implique de mettre tout le
système à jour en même temps. Si les clients sont localisés un peu partout dans le monde, il est
difficile de trouver un moment où tout le monde dort.
Elasticité :
L’élasticité correspond à la capacité d’adapter des ressources informatiques (calcul, stockage,
etc.) à la volée en fonction des besoins applicatifs. En d’autres termes, le Cloud élastique adapte
de manière autonome et très précise les ressources disponibles dans le système par un
approvisionnement /dé-provisionnement automatique pour gérer les variations de charges et
offrir le coût le plus optimal.
Concrètement, les méthodes des fournisseurs de Cloud actuels permettent une grande
évolutivité, soit l’une des grandes promesses du Cloud. Cependant, cette évolutivité recèle
souvent des faces cachées ou imprévues.

6
 Perte de contrôle :
Le Cloud utilise un modèle de localisation transparent par lequel il permet aux associations de
ne pas connaître la zone de leurs services et données. Par la suite, le fournisseur peut avoir ses
administrations de n'importe où dans le nuage. Pour cette situation, l'association peut perdre ses
informations et potentiellement ne pas connaître la politique de sécurité mis en place par le
fournisseur.
Fuites de données :
La sécurité absolue n’existe pas. Des fuites de données peuvent survenir au sein des machines
virtuelles, et les informations personnelles des clients ou les données confidentielles de
l’entreprise peuvent ainsi être dérobées.
Malgré tout, cette perspective dissuade de nombreuses entreprises d’adopter le Cloud
Computing. Malheureusement, les mesures pour empêcher les fuites ou le vol de données
peuvent exacerber ces menaces.
Perte de données :

Figure 2 : Causes de la perte de données

7
Parfois, les données perdues à partir des serveurs Cloud ne sont pas dues à une cyberattaque.
Les causes non-malveillantes de la perte de données incluent les catastrophes naturelles comme
les inondations et les tremblements de terre, et les erreurs humaines simples, comme lorsqu'un
administrateur du Cloud supprime accidentellement des fichiers.
Il est facile de sous-estimer le risque que quelque chose de mauvais arrive aux données en raison
d'une erreur innocente. L'une des clés permettant d'atténuer la menace de perte de données non
malveillante consiste à gérer de nombreuses sauvegardes sur des sites physiques situés dans
différents emplacements géographiques.
Mauvaise utilisation des services du Cloud :
Cracker une clé de chiffrement à l’aide d’un hardware limité peut prendre des années.
Toutefois, les hackers ont eux aussi accès aux services du Cloud, et peuvent utiliser ces services
pour cracker ces clés en quelques minutes seulement. Ils peuvent également utiliser ces serveurs
pour lancer des malwares, des attaques DDoS, ou pour distribuer des logiciels piratés.
La capacité de stockage incomparable du Cloud a permis à la fois aux pirates informatiques et
aux utilisateurs légaux d'héberger et de diffuser des logiciels malveillants, des logiciels illicites
et d'autres ressources numériques. Ces dangers comprennent le partage d'émissions, de
musique, d'enregistrements ou de livres volés. Les fournisseurs de services ont pour
responsabilité d’éviter de tels abus, mais il est difficile de détecter des usages inappropriés.
Menaces internes :
La plupart des employés sont dignes de confiance, mais un employé d’un service informatique
ou d’un service métier peut disposer d’informations qui peuvent être faciles à acquérir par un
cyberattaquant externe qui sait manipuler l’ingénierie sociale comme la carotte financière.
Dans une étude, il est dit que 70% des attaques provenaient de l’intérieur. Dans le cadre du
Cloud, cela veut donc dire que les utilisateurs doivent avoir les moyens de protéger leurs
données contre les administrateurs système du service hébergé dans le Cloud.
Cependant Le système du Cloud doit identifier les logiciels malveillants et les supprimer des
serveurs virtualisés au sein du centre de données, ainsi que détecter et neutraliser les attaques
émanant de comptes utilisateur dotés de privilèges.
Attaques externes :
Les composants de sécurité telle que les pare feux ou les systèmes de détection d'intrusion, ne
sont pas adaptés pour détecter les attaques distribuées. Ces attaques sont donc subdivisées en
sous attaques afin d'être indétectable par un tel système de sécurité.

8
 Injection de programmes malveillants :
Les logiciels malveillants consistent généralement à voler des données confidentielles, telles
que des noms d'utilisateur, des mots de passe, des informations et autres renseignements
financiers utiles. Ces informations sensibles peuvent à servir ensuite de lancer d'autres attaques
contre des personnes et des entreprises ou sont vendues à d'autres acteurs malveillants. Il existe
plusieurs types de programmes malveillants tels que les chevaux de Troie, les keyloggers et les
rootkits, etc.
Attaques par déni de service :

Figure 3 : Attaque par déni de service

9
Contrairement aux autres types de cyber-attaques, qui sont généralement lancées pour créer des
informations sensibles à long terme et détourner des informations sensibles, les attaques par
déni de service consistent à rendre les serveurs indisponibles par une consommation abusive
des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est
d’envoyer des millions de requêtes automatisées à un service pour le saturer. Ces attaques sont
de plus en plus sophistiquées et difficiles à détecter avant qu’il ne soit trop tard. De plus, pour
une entreprise, elle peut recevoir une facture astronomique à cause des ressources utilisées
pendant l’attaque.
2) Les risques de sécurité du Cloud

Selon un rapport intitulé "Assessing the Security Risks of Cloud Computing.", présenté par le
groupe d’analyse Gartner, le Cloud Computing est exposé à des risques de sécurité. Les clients
intelligents poseront des questions difficiles et envisageront pour obtenir une évaluation sur la
sécurité des services du Cloud Computing.
Les utilisateurs peuvent toujours exiger certaine transparence par les fournisseurs à la manière
dont ils gèrent des incidents de sécurité et la confidentialité. Ils doivent aussi poser des questions
sur l’équipe technique (les architectes, les codeurs et les opérateurs), les processus de contrôle
des risques et les mécanismes techniques, le niveau de test effectué pour vérifier que les
processus de service et de contrôle fonctionnent comme prévu et que les fournisseurs peuvent
identifier les vulnérabilités imprévues.
Voici les sept risques de sécurité que Gartner recommande aux clients d’examiner avant de
sélectionner un fournisseur de Cloud.
➢ La qualité des superviseurs :
Sous-traiter ses données les plus sensibles ne peut s’envisager que si on a la certitude que les
informaticiens du sous-traitant sont dignes de confiance et que leurs faits et gestes sont
contrôlés.
Gartner recommande un droit de regard et de contrôle sur les personnels du fournisseur.
➢ Conformités légales :
En fin de compte, c’est le propriétaire des données qui est tenu responsable en cas d’infraction
à la législation. Les fournisseurs de service doivent se plier à toutes les demandes d’audit
externes et disposer de toutes les certifications de sécurité nécessaires pour que les clients aient
la certitude d’être couverts.

10
 ➢ Localisation des données :
L’utilisation de sites de stockage multiples fait partie des points forts de cette approche, mais
aussi de ses points faibles. En effet, la dématérialisation touche à ses limites lorsqu’on
s’intéresse au lieu où se trouve implanté un site de stockage. Les données qu’il contient relèvent
alors du régime juridique local. Autant savoir sous lequel peuvent se trouver ses données.
➢ Isolement des données :
Par définition, le Cloud Computing rime avec le partage des ressources. Cela engendre une
menace sur la confidentialité des données. Il faut s’assurer de leur cryptage correct et qu’il est
possible de les isoler. Ce point est crucial. Un cryptage qui ne respecte pas les règles de l’art
peut déboucher sur une perte irréversible.
➢ Récupération :
Ignorer où se trouvent ses données ne veut pas dire que l’on ne puisse pas avoir l’assurance des
moyens mis en place pour leur sauvegarde en cas de problème majeur. La réplication sur
plusieurs sites distants est un impératif. Une restauration complète dans des délais contractuels
l’est aussi.

11
 IV) NORMES ET STRATEGIE DE SECURITE DU CLOUD

L'Organisation pour l'avancement des normes d'information structurées (OASIS) élabore des
normes pour la sécurité, le commerce électronique et les services Web. OASIS a créé des
standards liés au Cloud concernant le paradigme SOA, la sécurité, les données (import et
export), la gestion des identités, etc.
Le comité technique de normalisation ISO/IEC JTC1/SC 38, intitulé « Cloud Computing and
Distributed Platforms », a été créé en novembre 2009. Il est constitué de trois groupes de travail
:
G1 : Cloud Computing Service Level Agreements (CCSLA), G2 : Cloud Computing
Interoperability and Portability (CCIP), G3 : Cloud Computing Data and its Flow (CCDF).
Ce comité a développé plusieurs normes autour du Cloud, notamment la norme ISO/IEC
17203 qui spécifie un format ouvert de machines virtuelles, les normes ISO/IEC 17788 et
ISO/IEC 17789 qui spécifient la nomenclature et l’architecture de référence d’une plateforme
de Cloud et bien d’autres encore.
Le comité technique de normalisation ISO/IEC JTC1/SC 27, intitulé « IT Security Techniques
», a été créé en 1989. Plusieurs normes développées par ce comité répondent également à des
besoins et problématiques liés au Cloud. La norme ISO 27017 sert de code de conduite à la
gestion de la sécurité de l’information dans le Cloud. Cette norme fournit des conseils afin
d’implémenter les contrôles de sécurité nécessaires dans une infrastructure de Cloud. La norme
ISO 27018 se focalise sur les aspects de données personnelles (Personally Identifiable
Information, PII) enregistrées dans le Cloud et propose un ensemble de conseils, de mécanismes
de contrôle et de bonnes pratiques afin de gérer ces données de manière sécurisée et afin
d’augmenter la confiance dans le Cloud.
Lorsqu'un fournisseur de services Cloud n'expose pas les détails de sa propre politique interne
ou de la technologie, les locataires doivent approuver les revendications de sécurité du
fournisseur.
Tous les aspects de la sécurité doivent être intégrés à la stratégie de sécurité d’un Cloud, qu’il
est préférable de concevoir sous forme d’un document formel ayant reçu l’approbation et la
bénédiction totale de la direction. Une stratégie de sécurité sert de référence à partir de laquelle
sont déduites les exigences de sécurité. Elle ne doit pas détailler les approches techniques ou
architecturales, car elles risquent de changer plus fréquemment que la stratégie, mais doit
présenter les exigences sous-jacentes d’un point de vue organisationnel ou métier.

12
 V) STANDARDS DE SECURITE DANS LE CLOUD

Les standards de sécurité définissent les processus, les procédures et les pratiques nécessaires
utilisées par un programme de sécurité. Ces standards s'appliquent également aux activités
informatiques liées au Cloud, incluent des étapes spécifiques à suivre pour assurer un
environnement sécurisé, et garanties la confidentialité des informations confidentielles dans le
Cloud.
➢ Security assertion markup language (SAML):
Security assertion markup language est un standard informatique définissant un protocole pour
échanger des informations liées à la sécurité. Il est basé sur le langage XML. SAML définit
trois rôles : un utilisateur, un fournisseur de services (SP) et un fournisseur d'identité.
➢ Open Authentication (OAuth) :
OAuth est un protocole libre, permet aux utilisateurs de donner au site ou logiciel
« consommateur », l'accès à des informations personnelles provenant du site « fournisseur » de
service ou de données, ceci tout en protégeant le pseudonyme et le mot de passe des utilisateurs.
Par exemple, un site de manipulation de vidéos pourra éditer les vidéos enregistrées sur
Dailymotion d'un utilisateur des deux sites, à sa demande.

13
 Figure 4 : SAML et OAuth

➢ Open ID:
OpenID est un système d’authentification que le partage d’attributs. Il permet à un utilisateur
de s’authentifier auprès de plusieurs sans avoir à retenir un identifiant pour chacun d’eux mais
en utilisant à chaque fois un unique identifiant OpenID.
Le modèle se base sur des liens de confiance préalablement établi et les fournisseurs d’identité
(OpenID providers nouveau formulaire en réutilisant les informations déjà disponibles. Ce
système permet à un utilisateur d'utiliser un mécanisme d'authentification forte
➢ SSL/TLS :
TLS (Transport Layer Security) et son prédécesseur SSL (Secure Sockets Layer), sont des
Protocoles de sécurité conçus pour assurer l'intégrité des données pour des communications sur
TCP/IP.
TLS et SSL chiffrent les segments des connexions réseau sur la couche de transport. Le
protocole TLS permet aux applications client de falsification des messages.

14
 VI) ETUDE DES MECANISMES DE SECURITE DISPONIBLES

La sécurité des données et des applications dans le cloud est un défi majeur pour les entreprises,
en raison de la diversité des menaces et des vulnérabilités propres à ces environnements. Pour
répondre à ce défi, plusieurs mécanismes, bonnes pratiques et solutions recommandées peuvent
être mis en place pour renforcer la sécurité. Quelques mécanismes sont décrits ci-dessous :

1) Bonnes pratiques pour assurer la sécurité des données et des applications dans
le cloud

➔ Sécurisation des accès et gestion des identités

• Authentification Multi-Facteurs (MFA) : Utiliser la MFA pour garantir que l'accès

aux ressources cloud est protégé par deux ou plusieurs éléments d'identification (par
exemple, mot de passe et un code généré sur un appareil mobile).
• Gestion des identités et des accès (IAM) : Appliquer le principe du moindre privilège,
où les utilisateurs se voient accorder les droits minimaux nécessaires pour accomplir
leurs tâches. Les outils IAM permettent de contrôler et d’auditer les permissions des
utilisateurs.
• Contrôle granulaire des accès : Mettre en place un contrôle d’accès basé sur les rôles
(RBAC) ou sur des attributs (ABAC), permettant de restreindre l'accès aux ressources
cloud en fonction de rôles, groupes ou attributs utilisateur spécifiques.

➔ Chiffrement des données

• Chiffrement des données au repos : Crypter toutes les données stockées sur des
serveurs cloud pour qu'elles ne puissent pas être lues en cas de compromission de la
plateforme.
• Chiffrement des données en transit : Utiliser des protocoles sécurisés comme HTTPS,
TLS ou VPN pour chiffrer les données en déplacement entre les utilisateurs, les
applications et les serveurs cloud.
• Clé de gestion de chiffrement : Utiliser des solutions de gestion des clés (KMS – Key
Management Service) pour contrôler l’accès aux clés de chiffrement et effectuer des
audits.

15
➔ Sauvegarde et récupération des données

• Sauvegardes régulières : Implémenter une stratégie de sauvegarde régulière des

données dans le cloud, de préférence dans une localisation géographique différente pour
éviter la perte en cas de catastrophe.
• Tests de restauration : Tester fréquemment les mécanismes de récupération des
données pour garantir leur efficacité en cas de perte de données, de panne ou de
cyberattaque (ex. : ransomware).
• Répartition des sauvegardes : Envisager une stratégie de sauvegarde hybride, où
certaines données sont stockées dans le cloud et d'autres dans des solutions locales ou
sur site.

➔ Sécurisation des applications

• Développement sécurisé : Adopter des pratiques de développement sécurisé

(DevSecOps), telles que l'intégration de la sécurité dans le cycle de vie des applications
(SDSLC), ainsi que des tests de vulnérabilité réguliers.
• Segmentation des applications : Diviser les applications en micro services ou
conteneurs pour limiter l'impact d'une faille dans un composant, afin d’éviter qu'un
incident de sécurité ne compromette l’ensemble de l’application.
• Protection contre les vulnérabilités connues : Utiliser des solutions de sécurité
comme des scanners de vulnérabilités, des pares-feux d'application web (WAF) et des
outils d'analyse de code pour détecter les failles potentielles.

➔ Surveillance continue et gestion des incidents

• Surveillance et gestion des journaux (logs) : Mettre en place une surveillance continue
des ressources cloud avec des outils comme SIEM (Security Information and Event
Management) pour analyser en temps réel les journaux et détecter les anomalies.
• Réponse aux incidents et gestion des alertes : Avoir un plan de réponse aux incidents
bien défini pour traiter rapidement les alertes de sécurité, y compris des procédures pour
la détection, la gestion et la remédiation.
• Audits réguliers : Effectuer des audits de sécurité réguliers, tant internes qu’externes,
pour évaluer l’efficacité des politiques de sécurité et assurer une conformité avec les
normes de l'industrie (par exemple, ISO 27001, GDPR).

16
 ➔ Gouvernance et conformité

• Conformité avec les réglementations : Assurer la conformité avec les lois et

règlements spécifiques, comme le RGPD (Règlement Général sur la Protection des
Données) en Europe, HIPAA pour les données de santé aux États-Unis, ou PCI-DSS
pour les informations de cartes de paiement.
• Politiques de gouvernance : Définir des politiques de gouvernance pour gérer les
accès, les données et les ressources cloud de manière centralisée, garantissant ainsi une
gestion efficace de la sécurité à l’échelle de l'organisation.
• Choix de fournisseurs de cloud conformes : Sélectionner des fournisseurs de services
cloud (CSP) qui respectent les normes de sécurité et les réglementations appropriées.

2. Solutions recommandées pour renforcer la sécurité du cloud

➔ Sécurisation des accès et des identités

• Okta / Azure Active Directory : Outils de gestion des identités qui permettent de gérer
l'authentification et l'autorisation des utilisateurs dans le cloud.
• Auth0 : Service de gestion des identités et d’authentification qui fournit des mécanismes
de MFA et de SSO (Single Sign-On).
• AWS IAM / Google Cloud IAM : Outils natifs de gestion des identités pour le contrôle
des accès et la mise en œuvre de politiques de sécurité.

➔ Chiffrement et gestion des clés

• AWS KMS (Key Management Service) : Service permettant de gérer et de protéger

les clés de chiffrement utilisées dans le cloud.
• Azure Key Vault : Service de gestion des clés de chiffrement et des secrets utilisés pour
sécuriser les applications cloud.
• HashiCorp Vault : Solution open-source pour la gestion des secrets et des clés, idéale
pour des environnements multi-cloud.

➔ Sécurité des applications et des conteneurs

• Docker Security : Outils de sécurisation des conteneurs Docker, incluant des scanners
de vulnérabilités et des politiques de contrôle des accès.

17
• Kubernetes Security : Solutions comme Aqua Security ou Twistlock pour la
sécurisation des déploiements Kubernetes dans le cloud.
• Cloud Security Posture Management (CSPM) : Outils comme Prisma Cloud de Palo
Alto ou Dome9 (acquis par Check Point) pour la gestion de la posture de sécurité dans
des environnements cloud.

➔ Surveillance et gestion des incidents

• Splunk / ELK Stack (Elasticsearch, Logstash, Kibana) : Solutions de gestion des

logs et de surveillance pour détecter et analyser les incidents de sécurité.
• Datadog : Outil de surveillance des performances du cloud, avec des capacités de
détection d'anomalies et d'alertes.
• Sumo Logic : Service d'analyse des logs en temps réel pour détecter les menaces et
gérer les incidents.

➔ Protection contre les menaces

• Cloudflare : Fournisseur de services de protection contre les attaques DDoS, les WAF
et la gestion du trafic entrant.
• Zscaler : Solution de sécurité cloud qui protège les utilisateurs et les applications contre
les menaces externes, tout en garantissant un accès sécurisé aux ressources.
• Trend Micro Deep Security : Solution de sécurité pour protéger les instances cloud
contre les menaces, notamment les malwares et les attaques réseau.

18
 VII) QUELQUES SOLUTIONS

1) Plateforme de confiance basée sur le TPM

Figure 5 : Une puce TPM

Le Trusted Computing Group (TCG), un consortium d'entreprises d'informatique
(Compaq, HP, IBM, Intel, Microsoft, AMD, etc.) visant à sécuriser les équipements et
communications informatiques, a proposé un ensemble de technologies matérielles et
logicielles afin de permettre la mise en œuvre de plates-formes de confiance. En effet, le TCG
a proposé une norme pour la conception d’une puce sécurisée TPM qui est maintenant livré
avec du matériel de base. Le TPM (Trusted Platform Module) contient une clé privée
d’approbation qui identifie le module TPM (et donc l'hôte physique), et certaines fonctions
cryptographiques qui ne peuvent pas être modifiés. Les fabricants respectifs signent la clé
publique correspondante pour garantir l'exactitude de la puce et la validité de la clé.

Les plates-formes de confiance s’appuient sur les caractéristiques de puces TPM afin de
permettre une attestation à distance. Ce mécanisme fonctionne comme suit : Au démarrage de
la plateforme, l'hôte traite une liste L de mesure consistant en une séquence de tables de hachage
du logiciel impliqué dans la séquence de boot, à savoir le BIOS, le bootloader et le logiciel qui
met en œuvre la plate-forme. Cette liste est stockée d’une façon sécurisée à l'intérieur du TPM
de l'hôte. Pour attester à la plate-forme, le côté distant défit la plateforme qui fonctionne sur le
serveur avec un nonce nᵤ. La plate-forme demande au TPM local de créer un message contenant
à la fois la liste L et le nᵤ, crypté avec la clé privée de la puce TPM. L'hôte envoie le message à
la partie à distance qui peut le décrypter en utilisant la clé publique correspondante, ce qui
permet l'authentification de l'hôte. En vérifiant que les nonces se correspondent et que la liste
L correspond à une configuration qu'il juge digne de confiance, le client à distance peut
identifier de manière fiable la plateforme sur un hôte non fiable.

19
 Figure 6 : Mécanisme d’accès dans une plate-forme de confiance
Étant donné que la plateforme traditionnelle de confiance peut sécuriser le traitement sur un
seul hôte, une approche naturelle pour sécuriser un service IaaS serait de déployer la plate-
forme sur chaque nœud du backend du service. Cependant, cette approche est insuffisante : un
sysadmin peut détourner un VM d'un client à un nœud ne fonctionnant pas sur la plateforme,
soit lorsque le VMIS lancé (en manipulant le CM), ou pendant l'exécution VM (en utilisant la
migration). En conséquence, le mécanisme de certificat de la plate-forme ne garantit pas que la
liste des mesures obtenues par le client à distance correspond à la configuration réelle de l'hôte
où le VM a fonctionné (ou sera exécuté dans le futur). Par conséquent, le TCCP doit fournir
une attestation à distance qui garantit l'invariabilité de propriétés de sécurité de la plateforme
dans le backend.

2) Cryptage des données : applications et limites

Une des particularités de la sécurité des données et des traitements dans le Cloud est la
différenciation entre les données statiques et celles dites en mouvement. En effet, la pratique
du cryptage des données statiques est différente de l'utilisation de la cryptographie pour protéger
les données en transmission ou en mouvement.

En effet, la particularité est que les clés de cryptage doivent être éphémères, tandis que
pour les données statiques, les clés peuvent être conservés aussi longtemps que les données
stockées sont conservées cryptées. Ce modèle ne marche pas sur Internet. La plupart des
données stockées sur l'Internet sont destinées à un usage par des utilisateurs, c'est avant tout
destiné à être utilisé par d'autres ordinateurs. Et c'est là que réside le problème. Les clés de
cryptage ne peuvent pas être stockées par les gens. Ils doivent être stockés sur le même
ordinateur, ou tout au moins le réseau où les données résident. Et c'est beaucoup plus risqué.

20
 ➔ Application de cryptage pour les données en mouvement.

Les deux objectifs de la sécurisation des données en mouvement sont la prévention des
données d'être tronquées (intégrité) et veiller à ce que les données restent confidentielles alors
qu'elles sont en mouvement. A part l'expéditeur et le récepteur, aucune autre partie ne devraient
être en mesure de de modifier les données. La façon la plus commune pour protéger les données
en mouvement est d'utiliser le Cryptage combinée à l'authentification pour créer un canal pour
transmettre en toute sécurité les données vers ou à partir du Cloud.

Le Cryptage est utilisé pour assurer que s'il y a une violation de l'intégrité de communication
entre les deux parties que les données doivent rester confidentielles. L'authentification est
utilisée pour assurer que les parties qui envoient entre elles les données sont authentiques. Le
transfert de données via des moyens programmatiques, par transfert de fichier manuel, ou via
un navigateur utilisant le protocole HTTPS, TLS ou SSL sont des protocoles de sécurisés
utilisés pour ce type de problématique.

Une clé PKI est utilisée pour authentifier la transaction, et les algorithmes de cryptage sont
utilisés pour protéger les données réelles.

➔ Obstacles du cryptage dans le Cloud.

Par exemple, un Cloud public de modèle SaaS, et en raison de sa nature même, ne pourrait
pas permettre aux abonnés de crypter leurs données. Cela peut être dû à des limitations
fonctionnelles avec le service lui-même. Pour les réseaux sociaux actuellement disponibles, y
compris Facebook, Myspace, et LinkedIn, il n'est pas possible d'utiliser le cryptage pour assurer
la confidentialité des renseignements personnels. Malheureusement, cela touche même ses
modèles de revenues. En effet, si Facebook permettait le cryptage dans son SaaS, alors
comment pourrait-on cibler les clients avec des publicités qui sont plus efficaces et qui se
rapportent à vos activités affichées ? Si vos données ont été cryptées, alors les aspects du
business model du fournisseur seraient compromis.

21
 3) Le HAIL : une solution RAID pour le Cloud
La Couche d'intégrité et de haute disponibilité HAIL (High-Availability and Integrity Layer)
est un système cryptographique distribué qui permet à un ensemble de serveurs de prouver à un
client qu'un fichier stocké est intacte et récupérable. Il renforce, unifie formellement, et
rationalise les approches distinctes de la communauté cryptographique et distribué-systèmes.

Les preuves dans le HAIL sont efficacement traitables par les serveurs et très compacte,
généralement quelques dizaines ou centaines d'octets, indépendamment de la taille du fichier.

La HAIL vérifie cryptographiquement et réaffecte réactivement les partages de fichiers. Il

est robuste contre un actif, adversaire mobile, i.e. qui peuvent progressivement corrompu
l'ensemble des serveurs.

Elle propose un modèle solide et contradictoire officiel pour HAIL, et une analyse
rigoureuse et des choix de paramètres. Nous montrons comment la HAIL améliore la sécurité
et l'efficacité des outils existants, comme la preuve de récupération (PoR) déployée sur des
serveurs individuels.

➔ Comment ça marche ?
Dans la HAIL, un client diffuse un fichier F avec une redondance entre n serveurs et garde
son état au niveau local. L'objectif de la HAIL est d'assurer la résilience face à un adversaire
mobile. Ce type d’adversaire puissant peut potentiellement corrompre tous les serveurs à travers
la durée de vie complète du système.

Supposant qu’un adversaire mobile qui a pu contrôler que b sur n serveurs à un moment.
Nous nous référons à un pas de temps dans ce contexte comme une Période.

22
 Figure 7 : La répartition d’un fichier selon le modèle HAIL
Dans chaque Période, le client qui possède F (ou potentiellement une autre entité pour le
compte du client) effectue un certain nombre de vérifications afin d'évaluer l'intégrité de F dans
le système. Si des corruptions ont été détectées sur certains serveurs, alors F peut être
reconstitué à partir de la redondance dans des serveurs intacts et les serveurs connus défectueux
remplacé. Ces tests d'intégrité périodiques et réparation sont une partie intégrante pour garantir
la disponibilité des données contre un adversaire mobile : Sans les vérifications d'intégrité,
l'adversaire mobile peut corrompre tous les serveurs à tour de rôle sur des périodes différentes
et de modifier ou de purge F à volonté.

➔ Système de réplication :
Un premier concept pour HAIL est de répliquer F sur chacun des n serveurs. A travers ces
serveurs, la redondance peut être utilisée pour vérifier l'intégrité. Pour effectuer une vérification
de l'intégrité, le client choisit simplement un fichier aléatoire de blocs position j et récupère le
bloc correspondant Fj de F de chaque serveur. Pourvu que tous les blocs retournés soient
identiques, le client conclut que F est intact dans cette position. S’il détecte des incohérences,
alors il reconstitue F (à l'aide de décodage majoritaire dans serveurs) et supprime / remplace
des serveurs défectueux. Par multiple échantillonnage du fichier, le client peut augmenter sa
probabilité de détecter de corruptions.

Cependant, une limitation de cette approche est que le client ne peut pratiquement inspecter
qu’une petite portion de F. Une autre limitation est que tandis que le client vérifie la cohérence
entre les serveurs, il ne vérifie pas directement l'intégrité, c'est à dire, que le bloc pour la position

23
j récupéré est celle initialement stockés avec F. Par conséquent, cette approche simple est
vulnérable à une attaque rampante. L’attaqueur prend une position aléatoire i et change le bloc
d'origine Fᵢ valeur à une valeur corrompue Eᵢ dans tous les serveurs corrompus dans une période
donnée.

➔ Système de réplication avec PoR :

Pour obtenir une meilleure résilience contre une attaque, il est recommandé d’employer un
système de PoR (Proof of Retrievability) sur chacun des n serveurs. Dans un système de PoR à
serveur unique, F est codée sous un code correcteur d'erreurs (ou code d'effacement) que nous
nous référons dans la HAIL par le code du serveur. Le code du serveur rend chaque exemplaire
du F robuste contre une tentative de corruption de bloc.

➔ Code de dispersion avec les PoR

Pour améliorer la surcharge de stockage de la réplication avec le PoR il y a une approche
plus intelligente pour créer une redondance entre les serveurs de fichiers. Plutôt que de répliquer
le fichier F à travers les serveurs, il est possible de le distribuer à l'aide d'une correction d'erreur
(ou l'effacement) de code. Il est connu dans la HAIL comme code de dispersion. Dans le HAIL,
chaque bloc du fichier est individuellement réparti sur les serveurs sous le code n dispersions.

Figure 8 : La répartition d’un fichier selon le modèle HAIL et en utilisant le code de

dispersion

24
 CONCLUSION GENERALE

A l’ère de la transformation numérique, le cloud computing incarne une révolution

technologique qui redéfinit la manière dont les données sont stockées, partagées et exploitées.
Toutefois, cette évolution s’accompagne d’un défi majeur : garantir la sécurité dans un
environnement dématérialisé et interconnecté. La sécurité dans le cloud n’est pas seulement
une contrainte technique ; elle est devenue un impératif stratégique pour les entreprises et une
préoccupation grandissante pour les particuliers.

Ce cours a mis en lumière les multiples dimensions de cette problématique, allant des enjeux
fondamentaux tels que la confidentialité des données, l’intégrité des systèmes, et la disponibilité
des services, aux risques spécifiques comme l’hameçonnage, les accès non autorisés, ou encore
les vulnérabilités liées aux infrastructures partagées. Nous avons également exploré les
pratiques de sécurité modernes, notamment le chiffrement des données, l’authentification forte,
et la gestion rigoureuse des identités et des accès.

Cependant, il serait réducteur de considérer la sécurité dans le cloud comme une responsabilité
exclusive des fournisseurs. L’efficacité des mesures de protection repose sur une approche
collaborative : les fournisseurs doivent garantir des plateformes sécurisées et conformes aux
normes, tandis que les utilisateurs doivent adopter des comportements responsables et intégrer
des mécanismes de contrôle rigoureux.

En définitive, la sécurité dans le cloud incarne un équilibre subtil entre innovation et vigilance.
Elle exige une adaptation continue face à un paysage technologique en mutation rapide, marqué
par l'émergence constante de nouvelles menaces. Plus qu’un défi, elle est une opportunité :
l’opportunité de construire un environnement numérique où la confiance et la résilience
deviennent les piliers d’un avenir durable. Ce n’est qu’en conjuguant technologie, gouvernance
et sensibilisation que nous pourrons exploiter pleinement le potentiel du cloud tout en assurant
la protection des actifs les plus précieux de notre époque : les données.

25
 REFERENCES

file:///C:/Users/IVAN/Documents/PROGRAMMATION%20DYNQIAUE/cloud/HEA_SECU
RITEDANSLECLOUD%20(2).pdf
https://www.ibm.com/fr-fr/topics/cloud-security
[2] N. Santos, K. Gummadi, R. Rodrigues, Towards Trusted Cloud Computing, 2010.
file:///C:/Users/IVAN/Downloads/HEA_SECURITEDANSLECLOUD.pdf
-Les certifications de sécurité.

26
 TRAVAUX DIRIGES : SECURITE DANS LE CLOUD

EXERCICE I : Les critères de sécurité dans le cloud

1. Sur quels principes est fondé le cloud ?
2. Quelles sont les caractéristiques du cloud ?
3. Le cloud est-il sécurisé ?
4. Comment le cloud est-il sécurisé ?
5. Quels sont les méthodes d’intrusions dans le cloud ?

EXERCICE II :
1- Qu’est-ce que la cybercriminalité ? qui vise-t-elle en premier ?
2- Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la
cybercriminalité ?
3- Donnez un moyen permettant de réaliser : l’authentification, la confidentialité, la non-
répudiation et la fraicheur de données ?
4- Qu’est-ce que la cybercriminalité ? Qui vise-t-elle en premier ?
5- Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la
cybercriminalité ?

EXERCICE III :
1. Qu’est-ce qu’un Déni de Service ? Donnez une attaque qui puisse le causer dans un
réseau local filaire ? une autre pour un réseau sans fil ?
2. Dans l’entête d’un paquet TCP on trouve le numéro de séquence du paquet. Comment
cette information peut-elle être exploitée pour une attaque ? de quel type sera donc cette
attaque ?
3. Tout réseau possède une adresse de diffusion. Les messages envoyés à cette adresse de
diffusion sont envoyés à tous les ordinateurs du réseau. Par exemple, si je veux connaître les
autres ordinateurs de mon réseau, je peux pinguer l’adresse de diffusion et tous les ordinateurs
connectés répondront à mon ping. Pourquoi serait-ce une mauvaise idée que les hôtes
répondent aux pings de diffusion (c’est-à-dire les echo requests d’ICMP, envoyées à l’adresse
de diffusion) ? Quel type de problème cela pourrait-il causer ?
4. Une autre attaque classique de Déni de Service est l’attaque SYN. Dans une attaque SYN,
un attaquant envoie à une victime un flot de paquets SYN avec des adresses sources usurpées.
La victime initialise des états de connexion et essaie de répondre aux adresses spoofées. Si
suffisamment de paquets SYN sont envoyés, la table de connexions d’un serveur peut être
remplie, et les nouvelles requêtes seront refusées. Proposez des solutions pour résoudre ce
problème ?

EXERCICE IV : L’attaque de l’Homme du milieu (MIM)

1. Expliquez ce qu'est une attaque MIM et en quoi TLS permet de s'en protéger.
2. Qu'est-ce que le fichier hosts ?
3. Où se trouve le fichier hosts ?
4. Comment fonctionne le fichier hosts ?
5. Citez les protocoles qui peuvent intervenir dans cette attaque et expliquez leurs
interventions.
6. Quels principes de sécurité du cloud sont violés par cette attaque ?
7. En pratique, nous avons parlé des types d’attaques MITM, il vous est demandé pour
chaque attaque ci-dessous de la décrire en mettant en évidence les protocoles intervenants.

27
EXERCICE V : Les types d’attaques
1. Citez et expliquez les différents types d’attaques que vous connaissez.
2. Faites un tableau ou vous représenter les attaques, les méthodes, les exemples réels.

EXERCICE IV : Les attaques DDoS

1. Que signifie DDoS.
2. Expliquer de façon précise ce type d’attaque.
3. Quels sont les protocoles mis en jeux.
4. Pourquoi faire une attaque DDoS ?
5. Quel logiciel pour des attaques DDoS ?
6. Quelle est la différence entre DoS et DDoS ?
7. Enumérer quelques différences entre les attaques DoS, MITM et les attaques DDoS
8. Donner le rôle des commandes suivantes :

• hping3 -S 192.168.149.1 -p 80 -c 5
• hping3 -0 192.168.149.1
• hping3 -1 192.168.149.1
• hping3 -2 192.168.149.1
• hping3 -8 1-30 -A 192.168.149.1
• hping3 -9 192.169.149.1
• hping3 -2 192.169.149.1 -V
• hping3 -S 72.14.207.99 -p 80 --tcp-timestamp
• hping3 -9 HTTP -I eth0
• hping3 -S 192.168.1.1 -a 192.168.1.254 -p 22 --flood
• hping3 lacampora.org -q -n -d 120 -S -p 80 --flood --rand-source
• hping3 --rand-source joelyankam.com -S -q -p 80 –flood

9. Un groupe de brigands indépendant nommés « black hands » disposent des adresses

suivantes : 192.168.200.200, 192.168.200.2, 192.168.200.30. Ils décident de réaliser l’attaque
d’inondation sur un serveur d’une université dont ils connaissent l’adresse.

• (a) De quel type d’attaque s’agit-il ? Pourquoi ?

• (b) Décrire de façon brève le scenario de l’attaque.
• (c) Comment sait-on qu’il s’agit d’une attaque d’inondation ?
• (d) Proposez un script Shell, qui aurait pu être à l’origine de cette attaque : les «
black hands » ne préciseront l’adresse du serveur que lors de l’attaque (à l’appel du
script).
• (e) Expliquer les différentes méthodes d’attaques DoS que vous connaissez.

28