Sécurité du cloud d'AWS

La sécurité et la conformité des données au cœur du Cloud d’AWS

Dossier : Vie des entreprisesMagazine N°779 Novembre 2022
Par Mathieu JEANDRON (X97)

Mathieu Jean­dron (X97), mana­ger des archi­tectes solu­tions pour le sec­teur public en France et au Bene­lux nous parle de la sécu­ri­té et la confor­mi­té des don­nées au cœur du Cloud d’AWS.

Comment appréhendez-vous la question de la sécurité des données ? 

De plus en plus, le recours aux capa­ci­tés de cal­cul inten­sif n’est plus réser­vé au monde de la recherche fon­da­men­tale. Aujourd’hui, on constate de plus en plus sou­vent un conti­nuum entre les sys­tèmes d’information clas­siques, d’où sont extraites les don­nées, et les capa­ci­tés de cal­cul inten­sif pour les simu­la­tions par exemple. C’est un phé­no­mène qu’on observe dans tous les domaines : san­té, indus­trie, finance… 

Ain­si, lorsque le cal­cul inten­sif se place dans le cloud, il est natu­rel et essen­tiel de trai­ter la ques­tion de la confi­den­tia­li­té des don­nées qui sont trai­tées dans le même conti­nuum de sécu­ri­té, ain­si que de pro­té­ger la confi­den­tia­li­té et la pro­prié­té intel­lec­tuelle des algo­rithmes créés et uti­li­sés par des cher­cheurs. Il s’agit de répondre aux plus hauts niveaux de sécu­ri­té, com­pa­rables à ceux que nous connais­sons dans le monde habi­tuel des sys­tèmes d’information les plus sen­sibles. Cet enjeu rela­tif à la sécu­ri­té et à la confor­mi­té des don­nées est au cœur des prio­ri­tés d’AWS.

Comment cela se traduit-il ? 

Cela se tra­duit à deux niveaux : D’une part, nous avons conçu nos infra­struc­tures et nos ser­vices de façon sécu­ri­sée à l’origine. D’autre part, nous met­tons à la dis­po­si­tion de nos clients de nom­breux outils afin qu’ils puissent mettre en œuvre leur propre poli­tique de sécu­ri­té dans le cloud AWS en matière de chif­fre­ment, de cloi­son­ne­ment réseau, de détec­tion de menaces, de réac­tion aux incidents.

Il est impor­tant de com­prendre que notre posi­tion est celui d’un four­nis­seur de tech­no­lo­gies : nos clients conservent en per­ma­nence la pro­prié­té et le contrôle de leurs don­nées et de leurs conte­nus sur AWS. Ils défi­nissent le lieu de sto­ckage et de trai­te­ment de la don­née, la ges­tion d’accès, les moda­li­tés de chif­fre­ment des don­nées, les outils à uti­li­ser (solu­tions AWS ou tiers…). 

C’est à la fois un enga­ge­ment légal et une réa­li­té tech­nique que les clients peuvent consta­ter direc­te­ment. En outre, ce sont éga­le­ment des carac­té­ris­tiques véri­fiées par nos nom­breuses cer­ti­fi­ca­tions de confor­mi­té avec les normes et stan­dards appli­cables. En paral­lèle, nos clients peuvent uti­li­ser AWS en confor­mi­té au Règle­ment Géné­ral sur la Pro­tec­tion des Don­nées (RGPD), nous avons éga­le­ment fait cer­ti­fier nos prin­ci­paux ser­vices conformes au code de conduite CISPE vali­dé par la CNIL, et obte­nu la cer­ti­fi­ca­tion HDS (Héber­geur de Don­nées de Santé).


Lire aus­si : AWS démo­cra­tise l’accès aux ordi­na­teurs quantiques


Quelles sont les principales perspectives dans le domaine de la sécurité ?

Nous tra­vaillons en per­ma­nence pour aller plus loin pour pro­té­ger les sys­tèmes et don­ner le niveau d’assurance atten­du par nos clients, et inves­tis­sons lar­ge­ment dans ce domaine. 

Par exemple, le sys­tème d’hypervision sur lequel nos ser­vices AWS s’appuient a été com­plè­te­ment repen­sé pour ren­for­cer l’isolation des sys­tèmes du client vis-à-vis de l’opérateur cloud et vis-à-vis des autres clients : la plu­part des fonc­tions habi­tuelles de l’hyperviseur sont désor­mais délé­guées à des com­po­sants maté­riels dédiés, ce qui nous per­met par exemple de sup­pri­mer tout méca­nisme qui per­met­trait à un sys­tème ou une per­sonne phy­sique de se connec­ter à un ser­veur, et dimi­nue dras­ti­que­ment les risques de vul­né­ra­bi­li­tés liés au pro­ces­seur ou aux logi­ciels des sys­tèmes hôtes. 

Autre exemple : nous déve­lop­pons des outils de rai­son­ne­ment for­mel auto­ma­ti­sés (rai­son­ne­ment de logique mathé­ma­tique) que nous appli­quons notam­ment pour véri­fier la sécu­ri­té de notre implé­men­ta­tion des algo­rithmes de chif­fre­ment en tran­sit (TLS), ain­si que la sécu­ri­té du code de boot de nos ser­veurs. Par défaut, tous nos clients béné­fi­cient de cette iso­la­tion et de ce niveau for­mel de sécu­ri­té prou­vée dès qu’ils uti­lisent une machine vir­tuelle AWS.

Comment les utilisateurs peuvent-ils appréhender ces questions ? 

Cela res­te­ra tou­jours de la pré­ro­ga­tive des clients de défi­nir leurs attentes en matière de sécu­ri­té et de confor­mi­té, dans le cadre du pro­jet qu’ils sont en train de mener. 

À par­tir du moment où les risques à cou­vrir sont clai­re­ment iden­ti­fiés et mis en regard des autres enjeux notam­ment de rapi­di­té d’exécution, de maî­trise des coûts, de per­for­mance, il est alors rela­ti­ve­ment simple d’avoir accès au bon niveau d’expertise tech­nique pour déci­der des outils et confi­gu­ra­tions adaptés.

Poster un commentaire