Sécurité du cloud d'AWS

La sécurité et la conformité des données au cœur du Cloud d’AWS

Dossier : Vie des entreprisesMagazine N°779 Novembre 2022
Par Mathieu JEANDRON (X97)

Math­ieu Jean­dron (X97), man­ag­er des archi­tectes solu­tions pour le secteur pub­lic en France et au Benelux nous par­le de la sécu­rité et la con­for­mité des don­nées au cœur du Cloud d’AWS.

Comment appréhendez-vous la question de la sécurité des données ? 

De plus en plus, le recours aux capac­ités de cal­cul inten­sif n’est plus réservé au monde de la recherche fon­da­men­tale. Aujourd’hui, on con­state de plus en plus sou­vent un con­tin­u­um entre les sys­tèmes d’information clas­siques, d’où sont extraites les don­nées, et les capac­ités de cal­cul inten­sif pour les sim­u­la­tions par exem­ple. C’est un phénomène qu’on observe dans tous les domaines : san­té, indus­trie, finance… 

Ain­si, lorsque le cal­cul inten­sif se place dans le cloud, il est naturel et essen­tiel de traiter la ques­tion de la con­fi­den­tial­ité des don­nées qui sont traitées dans le même con­tin­u­um de sécu­rité, ain­si que de pro­téger la con­fi­den­tial­ité et la pro­priété intel­lectuelle des algo­rithmes créés et util­isés par des chercheurs. Il s’agit de répon­dre aux plus hauts niveaux de sécu­rité, com­pa­ra­bles à ceux que nous con­nais­sons dans le monde habituel des sys­tèmes d’information les plus sen­si­bles. Cet enjeu relatif à la sécu­rité et à la con­for­mité des don­nées est au cœur des pri­or­ités d’AWS.

Comment cela se traduit-il ? 

Cela se traduit à deux niveaux : D’une part, nous avons conçu nos infra­struc­tures et nos ser­vices de façon sécurisée à l’origine. D’autre part, nous met­tons à la dis­po­si­tion de nos clients de nom­breux out­ils afin qu’ils puis­sent met­tre en œuvre leur pro­pre poli­tique de sécu­rité dans le cloud AWS en matière de chiffre­ment, de cloi­son­nement réseau, de détec­tion de men­aces, de réac­tion aux incidents.

Il est impor­tant de com­pren­dre que notre posi­tion est celui d’un four­nisseur de tech­nolo­gies : nos clients con­ser­vent en per­ma­nence la pro­priété et le con­trôle de leurs don­nées et de leurs con­tenus sur AWS. Ils définis­sent le lieu de stock­age et de traite­ment de la don­née, la ges­tion d’accès, les modal­ités de chiffre­ment des don­nées, les out­ils à utilis­er (solu­tions AWS ou tiers…). 

C’est à la fois un engage­ment légal et une réal­ité tech­nique que les clients peu­vent con­stater directe­ment. En out­re, ce sont égale­ment des car­ac­téris­tiques véri­fiées par nos nom­breuses cer­ti­fi­ca­tions de con­for­mité avec les normes et stan­dards applic­a­bles. En par­al­lèle, nos clients peu­vent utilis­er AWS en con­for­mité au Règle­ment Général sur la Pro­tec­tion des Don­nées (RGPD), nous avons égale­ment fait cer­ti­fi­er nos prin­ci­paux ser­vices con­formes au code de con­duite CISPE validé par la CNIL, et obtenu la cer­ti­fi­ca­tion HDS (Hébergeur de Don­nées de Santé).


Lire aus­si : AWS démoc­ra­tise l’accès aux ordi­na­teurs quantiques


Quelles sont les principales perspectives dans le domaine de la sécurité ?

Nous tra­vail­lons en per­ma­nence pour aller plus loin pour pro­téger les sys­tèmes et don­ner le niveau d’assurance atten­du par nos clients, et investis­sons large­ment dans ce domaine. 

Par exem­ple, le sys­tème d’hypervision sur lequel nos ser­vices AWS s’appuient a été com­plète­ment repen­sé pour ren­forcer l’isolation des sys­tèmes du client vis-à-vis de l’opérateur cloud et vis-à-vis des autres clients : la plu­part des fonc­tions habituelles de l’hyperviseur sont désor­mais déléguées à des com­posants matériels dédiés, ce qui nous per­met par exem­ple de sup­primer tout mécan­isme qui per­me­t­trait à un sys­tème ou une per­son­ne physique de se con­necter à un serveur, et dimin­ue dras­tique­ment les risques de vul­néra­bil­ités liés au processeur ou aux logi­ciels des sys­tèmes hôtes. 

Autre exem­ple : nous dévelop­pons des out­ils de raison­nement formel automa­tisés (raison­nement de logique math­é­ma­tique) que nous appliquons notam­ment pour véri­fi­er la sécu­rité de notre implé­men­ta­tion des algo­rithmes de chiffre­ment en tran­sit (TLS), ain­si que la sécu­rité du code de boot de nos serveurs. Par défaut, tous nos clients béné­fi­cient de cette iso­la­tion et de ce niveau formel de sécu­rité prou­vée dès qu’ils utilisent une machine virtuelle AWS.

Comment les utilisateurs peuvent-ils appréhender ces questions ? 

Cela restera tou­jours de la prérog­a­tive des clients de définir leurs attentes en matière de sécu­rité et de con­for­mité, dans le cadre du pro­jet qu’ils sont en train de mener. 

À par­tir du moment où les risques à cou­vrir sont claire­ment iden­ti­fiés et mis en regard des autres enjeux notam­ment de rapid­ité d’exécution, de maîtrise des coûts, de per­for­mance, il est alors rel­a­tive­ment sim­ple d’avoir accès au bon niveau d’expertise tech­nique pour décider des out­ils et con­fig­u­ra­tions adaptés.

Poster un commentaire