« Sécurité des infrastructures du cloud » : différence entre les versions

Contenu supprimé Contenu ajouté

Intégrés

Version du 17 janvier 2020 à 18:41

La Sécurité des infrastructures du Cloud est un sujet de préoccupation majeur dans tous les domaines lié aux Technologies de l'information et de la communication suite à la monté en puissance du Cloud computing. Depuis l'introduction de cette technologie, de nombreux problèmes de sécurités liés à l'utilisation des données hébergés dans les clouds ont entraîné des scandales médiatiques. Les attaques informatiques et les failles de sécurités présentes dans les systèmes traditionnels s'amplifient avec l'utilisation des différents types de cloud ; cela a entrainé l'émergence de nouveaux types de menace. Afin de répondre au mieux à ces problématiques, le monde de l'informatique a dû faire évoluer les concepts relatifs aux trois principes fondamentaux de la sécurité de l'information qui sont : la confidentialité, l'intégrité et la disponibilité. Aussi, les différentes techniques de sécurité au sein même des infrastructures tel que les réseaux, le stockage, les hyperviseurs ont du être renforcées et adaptées aux nouvelles problématiques.

Problèmes de sécurité dans les Infrastructures Cloud

Contexte

Les fonctionnalisés offertes par les infrastructures cloud (IaaS, SaaS, PaaS)^[1], qu'elles soient privées, communautaires, publiques ou hybrid^[1] sont très populaires et massivement utilisées par les entreprises pour leurs données, services internes ou celles de leurs clients.^[2]

Le fait de mutualiser des ressources systèmes ou de mettre en place des paiements via l'utilisation de ces ressources, accentue d'avantage les problèmes de sécurité que dans les systèmes traditionnels^[3], particulièrement en ce qui concerne les attaques de type Ddos.^[4] Les utilisateurs et les fournisseurs de services clouds sont de plus en plus préoccupés par les nouvelles menaces et les nouveaux risques auxquels ils doivent faire face lorsqu'ils intègrent le cloud^[5]. Notamment dans le cas d'attaques distribuées où plusieurs routes peuvent exister afin de joindre un serveur ou une application. Les attaquants peuvent utiliser cet aspect pour ne pas être détectés et augmenter l'efficacité de leur attaque.^[6] Une étude de cas, effectuée par la Cloud Security Alliance (en), montre la diversité des problèmes de sécurité existants et les impacts techniques et financiers conséquent présents sur un cloud.^[7] De cette étude, nous pouvons énumérer :

LinkedIn qui en 2012 a révélé que 6 millions de mots de passe ont été volés, mais ce chiffre est passé à 167 millions en 2016^[8]

Yahoo, a constaté que suite au piratage qu'il a subi en 2013, 500 millions de noms d'utilisateurs/mots de passe ont été volé^[9]; cependant, ce chiffre a été revu à 3 milliards de comptes à la suite d'une déclaration publiée par Verizon, ce qui représente la plus grande fuite de données mondiale^[10].

En outre, nous pouvons également citer les problèmes de sécurités qui ont impactés les sociétés tel que :

Facebook a subit plusieurs problèmes de sécurité et de scandales liés à la protection de la vie privé de ses utilisateurs. En 2018, a été révélé le Scandale Facebook-Cambridge Analytica qui a permit l'exploitation de données de 87 Millions utilisateurs Facebook à leur insu, à des fins d'influence politique.^[11] Mark Zuckerberg a admis, en mars 2019, l'échec de son entreprise en matière de protection de la vie privée des utilisateurs et a promis de transformer Facebook en une plateforme axée sur la vie privée.^[12] Malgré cette annonce, deux autres problèmes de sécurité majeurs ont impacté Facebook. Le premier, en Mars 2019 stipulant que des centaines de millions de mots de passe d'utilisateurs étaient stockés en accès libre au sein du réseau de l'entreprise, même si rien n'indique qu'ils aient été exploités.^[13] Et le deuxième, en avril 2019, des chercheurs ont découvert des bases de données exposées publiquement contenant 146 Go de données Facebook sur 540 millions d'utilisateurs.^[14]
Equifax, société spécialisée dans l’analyse de crédit aux États-Unis, a annoncé le 7 septembre 2017, qu’une faille de sécurité sur le logiciel Apache Struts avait conduit au vol de données personnelles de 143 millions d’utilisateurs. A la suite de cette affaire, trois de ses dirigeants seraient suspecter d'avoir commis un délit d'initier.^[15]

Menaces les plus communes sur les Infrastructures Cloud

Les activités de piratages informatiques sont passés d'un hobbies pratiqué par des amateurs à une véritable industrie qui rapporte des millions de dollars.^[16]

Comme n'importe quel système informatique, les infrastructures clouds sont exposées de la même manière aux menaces. Une menace est tout simplement un événement qui, s'il se réalise, peut causer des dommages à un système et créer une perte de confidentialité, de disponibilité ou d'intégrité.^[17] Ces dernières peuvent être malveillantes ou accidentelles. Une vulnérabilité est une faiblesse d'un système qui peut être exploitée par une menace. La réduction des vulnérabilités d'un système peut réduire le risque et l'impact des menaces, les plus communes aux Infrastructures cloud et traditionnelle sont les suivantes : ^[17] ^[18]

Écoute clandestine: L'analyse du trafic, l'Ingénierie sociale (sécurité de l'information), le Reniflage sont tous des types d'écoute clandestine visant à obtenir des informations ou à créer une base pour une attaque ultérieure. L'écoute clandestine est une des causes principales de l'échec de la confidentialité.
Fraude: Les transactions falsifiées, la manipulation de données et toutes autres altérations de l'intégrité des données à des fins lucratives.
Vol: Le vol d'informations ou de secrets commerciaux dans un but lucratif ou en vue d'une divulgation non autorisée, ainsi que le vol physique de matériel ou de logiciels en sont des exemples.
Sabotage: Cela comprend les Attaque par déni de service (DoS), les retards de production et le sabotage de l'intégrité des données.
Attaque externe: Par exemple le Balayage de ports afin d'obtenir des renseignements sur l'infrastructure, l'insertion d'un code malveillant via Cross-site scripting.

En 2019, la Cloud Security Alliance, en interrogeant 241 experts de l'industrie, a établit un rapport des 11 menaces, risques et vulnérabilités importants dans les infrastructures cloud.^[19]. En analysant ce rapport, il est intéressant de noter que les préoccupations de sécurité traditionnelles dans les clouds, telles que le déni de service, les vulnérabilités des technologies partagées et la perte de données, n'apparaissent plus contrairement aux années précédentes. Cela laisse penser, que les questions de sécurité traditionnelles relevant de la responsabilité des fournisseurs de service cloud semblent moins préoccupantes.^[19] Les nouvelles inquiétudes en terme de sécurité qui naissent désormais, sont spécifiques aux clouds tel que les faiblesses potentielles dans la conception du service cloud (avec comme conséquence une corruption des données), les interfaces API (application programming interface) non sécurisées et l'incapacité de visualiser et d'analyser si l'utilisation des services de cloud au sein de l'entreprise est sûre ou malveillante, ce qui peut engendrer une utilisation malveillante d'une infrastructure cloud.^[19] ^[20]

Préoccupations en matière de sécurité

Lorsque des données sont envoyées dans le cloud, un tout nouvel ensemble de problèmes surgit, cela est dû en grande partie au fait que les données sont stockées sur un équipement qui ne nous appartient pas.^[21] Il est recommandé que les contrôles de sécurité de l'information soient choisis et mis en œuvre en fonction des risques, mais aussi proportionnellement à ces derniers, en évaluant les menaces, les vulnérabilités et les impacts. Les préoccupations en matière de sécurité dans les clouds peuvent être regroupées de diverses façons. Gartner en a nommée sept^[22], nous en énumérons certaines ci-dessous.

Sécurité de l'information

Les trois principes fondamentaux de la sécurité de l'information sont la confidentialité, l'intégrité et la disponibilité (CIA triad (en)). Ces principes définissent la posture de sécurité d'une organisation. Tous les contrôles et les mesures de sécurités de l'information, ainsi que toutes les menaces, les vulnérabilités et les processus de sécurité sont soumis à l'étalon de ces trois principes.^[23]

Vie privée et Confidentialité

L'aspect de confidentialité des données des clients est l'un des piliers principals de la sécurité des infrastructures cloud. L’opérateur, ici, les fournisseurs de service de cloud, doivent assurer intégralement la confidentialité des données des clients. Les données ne devront en aucun cas être accessibles par les autres clients du mêmes cloud.^[24] Les failles de sécurité liées aux pertes de confidentialité ont pour conséquence une baisse de confiance, un sentiment de trahison accru envers les opérateurs du cloud car la confidentialité des données plus ou moins secrètes dans ce type d'infrastructure est remise en cause.^[25] Pour éviter ces craintes et renforcer la sécurité des données, les fournisseurs de services cloud doivent impérativement adhérer à des politiques de sécurité et de confidentialité afin de mettre tout en oeuvre pour protéger les données de leurs utilisateurs.^[26]

Il convient également noter que les risques liés à la vie privée et à la confidentialité d'un utilisateur varient considérablement selon les conditions de service et la politique de confidentialité établies par le fournisseur de service cloud. En effet, les données privées des utilisateurs peuvent se retrouver dans des emplacements physiques différents engendrant donc des conséquences juridiques différentes liées aux pays où seraient entreposées les données.^[27] ^[28] En europe, la Directive 95/46/CE sur la protection des données personnelles^[29] contenait une disposition extraterritoriales importante, selon laquelle, le flux de données personnelles provenant de tout pays membre de l'Union européenne, pouvait être interrompu, si le pays vers lequel il est transféré, ne disposait pas d'un niveau de protection des données personnelles jugé suffisamment développé et sécurisant. La directive répertoriait également une liste des pays de l'EU dans lequels les données privées et personnelles pouvaient ou non traverser ou résider.^[30] Il faut aussi noter que les autorités européennes chargées de la protection des données avaient exigé que les responsables du traitement des données, obtiennent un consentement préalable des utilisateurs avant le transfère des données à l'étranger.^[31]

En 2018 est rentré en vigueur le Règlement général sur la protection des données^[32] (RGPD) qui remplace la directive européenne 95/46/CE. Ce dernier à pour objectif de clarifier les concepts et les procédures de protection des données dans le monde connecté, au sein de l'Union européenne, en apportant un cadre légal à la protection des données à caractère personnel.^[33] ^[34] Cette nouvelle réglementation a donc un impact important sur les infrastructures cloud en apportant les modifications suivantes :^[34]

Le consentement: La personne concernée part la collecte / traitement des données doit expressément notifier son accord. A contrario, il doit avoir la possibilité de rompre cet accord à tous moment.^[35]
La portabilité: Sur demande du client, un fournisseur de service cloud doit être en mesure de fournir ses données personnelles. De plus, sans le consentement de ce dernier, la revente des données est strictement interdite.^[34]
Traitement des données: Il est interdit de traiter les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques permettant d'identifier de manière unique une personne physique, les données relatives à la santé, ou les données révélant l'orientation sexuelle d'une personne physique.^[36]
Localisation et transfert des données: La GDPR concerne toutes les organisations au sein de l'UE, mais elle s'applique également aux organisations établies hors de l'UE si elles proposent des biens ou des services à des personnes résidants dans l'UE.^[35]

Cette nouvelle réglementation peut apporter un gain significatif en terme de sécurité des données puisqu'elle demande d'assurer un niveau de sécurité approprié.^[37]

Intégrité

L'intégrité est la garantie que le message envoyé correspond au message reçu, et que ce dernier ne soit pas altéré intentionnellement, ou non, par le personnel ou des processus non autorisés.^[38] ^[39]. La perte d'intégrité peut survenir à la suite d'une attaque intentionnelle visant à modifier l'information (par exemple, la dégradation d'un site Web) ou, plus couramment, de façon non intentionnelle (les données sont accidentellement modifiées par un opérateur).^[40]

Les données ne sont plus conservées en local sur les disques dures d'ordinateurs, mais sont sauvegardées plusieurs fois dans des stockages différents. Il appartient donc à l'’opérateur, ici les fournisseurs de service de cloud, d'assurer l’intégrité de ces données, ce qui représente un aspect important de la sécurité.^[41] ^[42]

Disponibilité

La disponibilité assure la fiabilité, le bon fonctionnement des systèmes et la rapidité d'accès aux données présentes dans les clouds ou des ressources mise en place dans les clouds. Une perte de disponibilité indique une perturbation de l'accès ou de l'utilisation de ces services. En outre, ce concept garantit que les services de sécurité du système du cloud sont en état de fonctionnement. Une Attaque par déni de service est un exemple de menace contre la disponibilité.^[43] ^[44]

Contrôles de sécurité des clouds

L'objectif des contrôles de sécurité dans le cloud est de réduire les vulnérabilités à un niveau tolérable et de minimiser les effets d'une attaque. Pour y parvenir, une organisation doit déterminer l'impact qu'une attaque pourrait avoir et la probabilité de pertes. Des exemples de pertes sont la suppression d'informations sensibles, la destruction physique de ressources mais aussi une perte de confiance des clients. Les contrôles servent de contre-mesures aux vulnérabilités, il en existe de nombreux types qui sont généralement classés de la façon suivantes :^[45]

Contrôles dissuasifs: Ces contrôles sont destinés à réduire les attaques sur le cloud. Ils réduisent généralement le niveau de menace en informant préalablement les attaquants potentiels des conséquences, si toutefois ils poursuivent leurs activités. (Certains les considèrent comme un sous-ensemble de contrôles préventifs).^[45]

Contrôles préventifs: Se protéger des vulnérabilités via par exemple des mises à jours suite à la publication de Common Vulnerabilities and Exposures (CVE) neutralise une attaque ou réduit son impact. Les contrôles préventifs inhibent les tentatives de violation de la politique de sécurité.^[45]

Contrôles des détections: Le fait de détecter des problèmes de sécurité dans les infrastructures cloud permet de réagir de manière appropriée en fonction de l'incident. En cas d'attaque, un contrôle de détection signalera les contrôles préventifs ou correctifs pour régler le problème.^[45]

Contrôles des correctifs: Les contrôles correctifs réduisent les conséquences d'un incident, normalement en limitant les dommages. Ils entrent en vigueur pendant ou après un incident. La restauration des sauvegardes du système afin de reconstruire un système compromis est un exemple de contrôle correctif.^[45]

Monitoring et Journalisation

Il est important de mettre en place une surveillance de toutes les données pertinentes pour la sécurité qui sont générées par un système, un réseau ou une application. La collecte des données est généralement effectuée à l'aide d'une stratégie de collecte hiérarchique ou centralisée si possible après leur génération. La portée de ce qui peut être collecté est large et le niveau de détail peut être écrasant, cette dernière dépasse généralement la capacité de traitement des services de surveillance. Par conséquent, en ce qui concerne la sécurité, il convient de prendre en compte les événements suivants :^[46] ^[47]

Détection / Exposition des menaces
Vérification des contrôles de sécurité
Enregistrement légal des activités

Une surveillance performante de la sécurité est nécessaire si l'on souhaite que les interventions ou les réponses aux incidents soient efficaces. La surveillance, la détection et l'intervention doivent être étroitement liées pour permettre une intervention rapide. Enfin, en adoptant ou en mettant en œuvre une capacité de surveillance de la sécurité robuste et avancée, un fournisseur de cloud a la possibilité de proposer la surveillance de la sécurité comme un service : Monitoring as a service (en).^[48]

Tests de vulnérabilité et d'intrusion

Des tests d'intrusion et de vulnérabilité des infrastructures cloud doivent être effectués régulièrement. Ces derniers doivent porter sur l'ensemble de l'infrastructure, réseaux compris, et pas seulement sur des serveurs ou composants individuels. Ces tests peuvent découvrir une multitude de vulnérabilités, ces dernières doivent être classés (aussi simplement que critiques/élevées/moyennes/faibles). En règle générale, toutes vulnérabilités classées comme critiques ou élevées doivent être corrigées pour garantir la sécurité de l'ensemble du cloud. Les vulnérabilités faibles ou moyennes peuvent être acceptées comme un risque raisonnable, cependant, elles doivent être étudiées en tenant compte du risque résiduel, puis acceptées par l'entreprise.^[49]

Afin de réaliser les tests de sécurités, différentes techniques peuvent être utilisées, notamment :^[50]

Concernant les tests de vulnérabilité et d'intrusion, nous pouvons citer les techniques suivantes :^[51]

Contrôle d'accès

Le contrôle d'accès est intrinsèquement lié à la gestion des identités et est nécessaire pour préserver la confidentialité, l'intégrité et la disponibilité des données du cloud.^[52] La Cloud Security Alliance recommande aux fournisseurs de cloud de fournir un mécanisme d'authentification avancé^[53], tel que les contrôles d'accès basés sur les attributs^[54] (Attribute-based Access Control (en)).

Les contrôles d'accès sont généralement décrits comme discrétionnaires ou non discrétionnaires, et les plus courants sont les suivants :^[55] ^[56]

Audit

En évaluant si les contrôles et les procédures sont adéquats pour répondre à tous les aspects opérationnels de la sécurité, de conformité, de protection, de détection et d'analyse judiciaire; les audits de sécurité transmettent un sentiment de confiance quant à la rigueur du fournisseur de cloud à assurer la sécurité.^[57] ^[58]

Les auditeurs vérifient habituellement les fonctions suivantes :^[59]

Contrôles des systèmes et des opérations
Normalisations des développements
Contrôles des sauvegardes
Procédures sur les bases de données
Sécurité du centre de données
Plans d'intervention d'urgence

Les auditeurs peuvent recommander des améliorations sur les différents contrôles et participer au processus de développement d'un système afin d'aider une organisation pour éviter une réingénierie coûteuse après sa mise en œuvre.^[59] Toutes les activités du système sont généralement journalisées dans des logs qui constituent un ensemble de documents utilisés pour retracer des transactions, connexions, etc..Ces journaux devraient consigner les éléments suivants :^[59]

La date et l'heure de la transaction
propriétaire de la transaction
depuis quel serveur la transaction a été traitée
Divers événements de sécurité liés à l'opération

Via ces logs, un auditeur est en mesure d'examiner les éléments suivants :^[59]

Travaux / changements sur la production
Pratiques des opérateurs
Toutes les commandes directement initiées par l'utilisateur
Toutes les tentatives d'identification et d'authentification
Fichiers et ressources accédés

Compromis de sécurité

En fonction des différents modèles de cloud, les compromis suivants en terme de sécurité ont étés identifiés :^[60] ^[61]

SaaS: Offre des fonctionnalités intégrées directement dans l'offre, avec la plus faible extensibilité pour le consommateur et un niveau de sécurité intégré relativement élevé. En effet, le fournisseur assume la responsabilité en matière de sécurité.
PaaS: A pour but de permettre aux développeurs de créer leurs propres applications sur la plate-forme. Il est donc plus extensible que le SaaS, au détriment des fonctionnalités prêtes à l'emploi. Ce compromis s'étend aux caractéristiques et capacités de sécurité, où les capacités intégrées sont moins complètes, mais où il y a plus de flexibilité afin d' ajouter de la sécurité supplémentaire.
IaaS: Offre peu ou pas de fonctionnalités de type applicatif, mais une énorme extensibilité, ce qui signifie généralement des capacités de sécurité et des fonctionnalités moins intégrées, au-delà de la protection de l'infrastructure elle-même. Ce modèle exige que les systèmes d'exploitation, les applications et le contenu soient gérés et sécurisés par le client.

Sécurisation infrastructures cloud

Sécurité physique

Lors du passage au cloud, les clients perdent le contrôle sur la sécurité physique étant donné que les serveurs peuvent être localisés partout dans le monde. Le concept du cloud peut parfois être trompeur et les utilisateurs ont tendance à oublier que l'usage du cloud nécessite un emplacement physique. L'investissement massif nécessaire pour établir le niveau de sécurité requis dans les Centre de données est l'une des nombreuses raisons pour laquelle les entreprises migrent vers le cloud.^[62]

La sécurité physique est aussi importante que tout autre contrôle de sécurité visant à protéger la sécurité et le fonctionnement du cloud. Les installations physiques sont soumises à diverses menaces, notamment les risques naturels et les actions humaines. par exemple, une infrastructure cloud hébergée dans un Centre de données se trouvant sur une zone inondable est aussi imprudent que d'accorder un accès privilégié à tous les utilisateurs.^[63]

Tout serveur dans le cloud est vulnérable à un attaquant qui dispose d'un accès physique et d'un temps illimité au serveur.^[64] Les éléments suivants devraient être fournis pour assurer la disponibilité du serveur : ^[65] ^[66] ^[67]

Contrôle et surveillance de l'accès physique (24/7/365).
Contrôles environnementaux et alimentations de secours.
Processus, procédures & politiques de sécurité adapté aux Centre de données.

Au niveau du réseau

Le réseau peut être considéré comme la colle qui maintient ensemble les applications et les utilisateurs du cloud. Les principales préoccupations et fonctions des réseaux sont de permettre la communication entre les appareils connectés au réseau. Dans un Centre de données moderne hébergeant une infrastructure cloud, le réseau est beaucoup plus complexe. Néanmoins, il est composé de plusieurs dispositifs que l'on retrouve dans une infrastructure standard, sauf qu'ils sont plus nombreux et ont des fonctionnalités accrues. On y retrouve les équipements traditionnels tel que les routeur ou pare-feu en bon nombres, mais également des équipements centrés sur le cloud afin d'assurer la sécurité de ce dernier tels que Application delivery controller, Load balance ou des équipements qui possèdent la fonctionnalité Système de détection d'intrusion.^[68]

Un autre concept qui a évolué en association avec le cloud est celui des réseaux définis par logiciel Software-defined networking (SDN). Les applications dans le cloud peuvent être dynamiques en termes de taille, d'emplacement et de durée de vie. Cela augmente la difficulté pour trouver les moyens de sécuriser ce type d'environnement difficile. La sécurité définie par logiciel Software-defined networking a été conçue pour répondre à ces préoccupations.^[69]

Il existe deux grands concepts pour la sécurité et les réseaux définis par logiciel. Le premier est l'API, utilisé pour apporter des modifications aux éléments du réseau et du matériel se trouvant dans un Centre de données; le second est l'orchestration, c'est-à-dire le fait de prendre ces API et de les utiliser de manière logique.^[70]

Les API: il en existe un certain nombre qui sont compatibles avec la notion de SDN. Des fournisseurs tels que Juniper, Cisco et VMWare fournissent tous des API pré-packagées pour permettre le contrôle et la gestion de leurs matériels et logiciels. Les API peuvent être utilisées par les développeurs pour gérer, orchestrer et automatiser leurs ressources cloud.^[70]
Orchestration: Les tâches de sécurité dans le cloud nécessitent généralement l'invocation d'un certain nombre d'API pour remplir un ensemble de tâches. Par exemple, lorsqu'une nouvelle instance de machine virtuelle est créée, une politique de sécurité devra être provisionnée afin de permettre au trafic de s'y rendre.^[70]

Nous pouvons donner l'exemple d'Openstack, qui possède des caractéristiques de sécurité importantes, notamment en terme de réseau. Les APIs d'OpenStack permettent en outre d'exposer les capacités de pare-feu, de Répartition de charge, de Commutateur réseau et de Système de détection d'intrusion (IDS) en tant que services d'infrastructure. L'architecture d'Openstack a été conçue pour fournir une gestion fine des ressources du cloud. Elle permet aux administrateurs et aux architectes d'appliquer des contrôles sur les rôles liés aux fonctions et les différents services réseaux. Cela donne à Openstack la possibilité de virtualiser les fonctions réseaux. Dans le cas de la sécurité du réseau, des éléments tels que le Commutateur réseau, NAT, le DHCP, la Répartition de charge, la configuration de l'interface réseau et les politiques de sécurité du pare-feu peuvent être instanciés rapidement et en toute sécurité.^[71]

Au niveau du stockage

Le cloud computing apporte des avancés en ce qui concerne le stockage en ligne; on parle ici de Storage-as-a-Service (en). Parmi les avantages supplémentaires de ces services généralement peu coûteux, figurent les tâches de maintenance du stockage (telles que la sauvegarde, la réplication et la reprise après sinistre), que le fournisseur de service cloud effectue. Un aspect commun à de nombreuses offres de stockage dans le cloud est la fiabilité et la disponibilité du service. La réplication des données est effectuée à un faible niveau par des mécanismes tels que le RAID (informatique) ou par un Système de fichiers.^[72]

L'une des tendances dans le domaine du stockage en ligne sur le cloud, est l'utilisation d'API (application programming interface). Cela est mis en œuvre sous la forme d'une API qui réside coté client et qui permet d'interagir directement avec le stockage hébergé sur le cloud via des protocols standards. Cela permet d'effectuer simplement des tâches de sauvegarde, restauration, Cryptage des données en conservant les clés locales de l'API côté client.^[72]

Sécurité de l'hôte / Hyperviseur / Machines Virtuelles

Chaque Machine virtuelle (VM) s'exécute au sommet du système d'exploitation hôte (le matériel physique doté d'un Hyperviseur tel que KVM (Kernel-based Virtual Machine) est appelé « hôte », tandis que toutes les machines virtuelles qui utilisent ses ressources sont appelées « invités ».^[73]). Si toutefois l'hôte est compromis, aucun composant invité ne sera en sécurité, c'est donc une tâche très importante de sécuriser l'hôte. Cependant, compromettre l'hôte n'est pas si simple mais il y a toujours une chance de trouver une nouvelle vulnérabilité qui pourrait causer une défaillance.^[74]

Concernant l'Hyperviseur, ce dernier étant un logiciel qui a le pouvoir de gérer toutes les VMs s'exécutant sur le système physique, le fait de le compromettre peut entraîner de graves dommages sur l'ensemble de l'infrastructure du cloud. En effet, le code fonctionnant dans une VM ne peut pas communiquer ou affecter le code s'exécutant sur l'hôte qui l'héberge ou dans une VM différente. Cependant, plusieurs problèmes, tels que des bugs dans le logiciel, ou des limitations à la mise en œuvre de la virtualisation, peuvent mettre cet isolement en danger. Les principales vulnérabilités inhérentes à l'hyperviseur sont les Rootkit de l'hyperviseur, Virtual machine escape (en) la modification externe de l'hyperviseur. Ces dernières sont généralement exécutées part des administrateurs système et des employés malveillants qui peuvent profiter de leurs privilèges pour insérer du code malveillant.^[74] ^[75]

Les attaquants exploitent les bugs ou les vulnérabilités des hyperviseurs / hôtes et Machine virtuelle , il est donc important d'appliquer un durcissement de la sécurité sur ces derniers^[74]:

Durcissement du système d'exploitation hôte & des VMs: utilisation des mots de passes fort / désactivation des programmes ou taches de fond inutiles / par-feu individuel / Patch et mise à jour régulière / limites de la consommation des ressources des machines virtuelles^[76] ^[77]
Limitation de l'accès physique à l'hôte.^[76]
Utilisation des communications chiffrées: Https, Ssh, Vpn^[76]
Mise en œuvre des contrôles d'intégrité des fichiers : processus qui consiste à vérifier que les fichiers conservent une bonne cohérence, et permet de vérifier s'il y a eu une intrusion dans le système.^[76]
Gestion des sauvegardes.^[76]

Sécurité des applications

La sécurité des applications est l'un des facteurs essentiels pour une entreprise proposant des clouds de type SaaS. Les processus de sécurisation des applications avec la mise en place des directives de codage sécurisé, des formations, des scripts et des outils de test sont généralement le fruit d'une collaboration entre les équipes de sécurité, de développement et de test. Des tests d'examen du code source des applications et des tests d' attaques doivent être effectués régulièrement afin de garantir la sécurité de l'application. Un manque de collaborations entre les différentes équipes peut entraîner une baisse de la qualité de la conception des applications et donc de sa sécurité.^[78] ^[79]

Les applications utilisées sont généralement Open source, par conséquent, les fournisseurs doivent sécuriser leurs applications Web en suivant les directives de l'Open Web Application Security Project (OWASP). Il faut également veiller à verrouiller les ports et les commandes inutiles sur la stack LAMP utilisée dans le cloud.^[78]

Sécurité des données

Article connexe : Sécurité des données.

Par rapport à un centre de données privé, il est compréhensible que les potentiels clients des clouds aient des préoccupations de sécurité concernant le stockage et le traitement de données sensibles dans un cloud public, hybride ou même dans un Community cloud (en). Le risque potentiel d'exposition des données est réel mais pas fondamentalement nouveau. En revanche, nous pouvons considérer que l'informatique dans le cloud entraîne des défis uniques en matière de sécurité des données.^[80]

On pourrait penser que le stockage des données d'une organisation sur une infrastructure Informatique traditionnelle offre des avantages potentiels pour la sécurité mais le problème est que la plupart des organisations ne sont pas qualifiées pour travailler dans le domaine de l'expertise de la sécurité sécurité Informatique. En effet, cela demande des compétences qui ne sont pas courantes. Par conséquent, déplacer des données vers des clouds et les confier à des dépositaires externes, n'engendre pas nécessairement de nouveaux risques. A contrario, cela pourrait même améliorer la sécurité et pourrait être plus rentable.^[80]

Il est tout de même important de préciser que toutes les données ne sont pas exportables vers des clouds publics; notamment les renseignements relatifs à la sécurité nationale.^[80] En outre, le coût de la prestation de sécurisations supplémentaires pour certaines données sensibles aurait potentiellement, comme conséquence, une incompatibilité avec le modèle de cloud public. Par conséquent, lorsque ces besoins en matière de sécurité des données prévalent, d'autres modèles de prestation (cloud communautaire ou privé) peuvent être plus appropriés.^[80].

Risques courants liés à la sécurité des données dans le cloud

Les menaces habituelles à la sécurités des données sont toujours d'actualité. L'utilisation de techniques telles que l'Hameçonnage, bien qu'elle ne soit pas nouvelle, peut être redoutable et représente une menace supplémentaire pour la sécurité des données dans une infrastructure cloud^[81]. Ainsi, certains fournisseurs ont mis en place des mesures de protections afin de luter contre ce style d'attaques ciblé sur le cloud:^[81]

Restrictions de l'accès aux instances uniquement via des plages d'adresses IP connues.
Notification automatique d'événements suspects. Par exemple, la connexion depuis la Chine peu après qu'une adresse IP depuis les États-Unis l'ait fait pour le même compte.
Utilisation d'une authentification basée sur les clés ssh et non un mot de passe statique pour les VMs provisionnées par un fournisseur de cloud.

Un autre risque est lié aux accès inappropriés aux données sensibles des clients par les administrateurs du cloud. Ce risque dépend de deux facteurs principaux : premièrement, il est lié au potentiel d'exposition des données non chiffrées et deuxièmement, à l'accès privilégié du personnel à ces données. L'évaluation de ce risque repose en grande partie sur les pratiques des fournisseurs clouds et sur l'assurance que le personnel ayant un accès privilégié n'aura pas accès aux données des clients.^[81]

Techniques Cryptographiques dans les clouds

Références

↑ ^{a et b} NIST Cloud def 2011, p. 2-3
↑ Sengupta 2011, p. 524
↑ Siani 2010, p. 693
↑ Massimo Ficco et Francesco Palmieri 2017, p. 460
↑ Anisetti 2017, p. 294
↑ Grimaud 2012, p. 1
↑ Deep Dive 2018, p. 3
↑ Deep Dive - LinkedIn 2018, p. 16
↑ Deep Dive - Yahoo 2018, p. 17
↑ Yahoo data theft 2017
↑ Cambridge Analytica scandal 2018
↑ Zuckerberg 2019
↑ Facebook Passwords 2019
↑ Facebook Database 2019
↑ Equifax Breach 2017, p. 72
↑ Srinivasan 2017, p. 7-9
↑ ^{a et b} Krutz 2010, p. 141-142
↑ Farzad 2011, p. 246-247
↑ ^{a b et c} Top Threats 2019
↑ Ouedraogo 2015, p. 4
↑ Velt 2010, p. 94
↑ Gartner's seven security issues 2011, p. 246
↑ Krutz 2010, p. 125
↑ Xiao 2013, p. 3
↑ Ricardo Padilha 2015, p. 1
↑ Hendre 2015, p. 1081
↑ Tchifilionova 2011, p. 154
↑ Rittinghouse 2010, p. 149
↑ Directive 95/46/CE 2018
↑ Winkler 2011, p. 72
↑ Tchifilionova 2011, p. 155
↑ RGPD Journal Officiel 2016
↑ Russo 2018, p. 58
↑ ^{a b et c} orange-business.com 2017
↑ ^{a et b} Russo 2018, p. 60
↑ Russo 2018, p. 59
↑ Ducato 2016, p. 2
↑ Sirohi 2015, p. 498
↑ Krutz 2010, p. 64
↑ Krutz 2010, p. 126
↑ Yuan Zhang 2017, p. 1
↑ Jingwei Li 2016, p. 1
↑ Ronald L. Krutz 2010, p. 64
↑ Winkler 2011, p. 14
↑ ^{a b c d et e} Security Control 2010, p. 180
↑ Winkler 2011, p. 174
↑ Peterson 2010, p. 85
↑ Winkler 2011, p. 184
↑ Winkler 2011, p. 270
↑ Krutz 2010, p. 95
↑ Krutz 2010, p. 106-110
↑ Ronald L. Krutz 2010, p. 210
↑ Sengupta 2010, p. 527
↑ Sun 2018, p. 218
↑ Ronald L. Krutz 2010, p. 212
↑ Winkler 2011, p. 138
↑ Winkler 2011, p. 92
↑ Siani 2010, p. 696
↑ ^{a b c et d} Ronald L. Krutz 2010, p. 65-66
↑ Velev 2011, p. 145
↑ Velev 2011, p. 147
↑ Rittinghouse 2010, p. 178
↑ Winkler 2011, p. 91
↑ Krutz 2010, p. 73
↑ Rittinghouse 2010, p. 178
↑ Winkler 2011, p. 91
↑ Krutz 2010, p. 73
↑ Yeluri 2014, p. 123-129
↑ Yeluri 2014, p. 131
↑ ^{a b et c} Yeluri 2014, p. 134
↑ Yeluri 2014, p. 136
↑ ^{a et b} Winkler 2011, p. 145
↑ VM
↑ ^{a b et c} Kumar 2018, p. 489-490
↑ Krutz 2010, p. 163
↑ ^{a b c d et e} Krutz 2010, p. 165-173
↑ Kumar 2018, p. 490
↑ ^{a et b} Rittinghouse 2010, p. 176
↑ Popović 2010, p. 348
↑ ^{a b c et d} Winkler 2011, p. 125-128
↑ ^{a b et c} Winkler 2011, p. 130-132
↑ Hendre 2015, p. 1082
↑ Yang 2010, p. 3
↑ ^{a b c d et e} Winkler 2011, p. 133-135
↑ ^{a et b} Chandra 2014, p. 83
↑ ^{a et b} Chandra 2014, p. 84

Bibliographie

(en) D. Gonzales, J. Kaplan, T. Saltzman, Z. Winkelman et D. Woods, « Cloud-Trust—a Security Assessment Model for Infrastructure as a Service (IaaS) Clouds », IEEE Transactions on Cloud Computing, vol. 5, n^o 3,‎ juillet 2017, p. 523-536 (ISSN 2168-7161, DOI 10.1109/TCC.2015.2415794)

(en) A. Hendre et K. Joshi, « A Semantic Approach to Cloud Security and Compliance », 2015 IEEE 8th International Conference on Cloud Computing,‎ 2015, p. 1081-1084 (ISSN 2159-6182, DOI 10.1109/CLOUD.2015.157)

(en) Marco Anisetti, Claudio Ardagna, Ernesto Damiani et Filippo Gaudenzi, « A Security Benchmark for OpenStack », 2017 IEEE 10th International Conference on Cloud Computing (CLOUD),‎ 2017, p. 294-301 (ISSN 2159-6190, DOI 10.1109/CLOUD.2017.45)

(en) Siani Benameur et Azzedine Benameur, « Privacy, Security and Trust Issues Arising from Cloud Computing », 2010 IEEE Second International Conference on Cloud Computing Technology and Science,‎ 2010, p. 693-702 (DOI 10.1109/CloudCom.2010.66)

(en) Jianfeng Yang et Zhibin Chen, « Cloud Computing Research and Security Issues », 2010 International Conference on Computational Intelligence and Software Engineering,‎ 2010, p. 1-3 (DOI 10.1109/CISE.2010.5677076)

(en) Shubhashis Sengupta, Vikrant Kaulgud et Vibhu Saujanya Sharma, « Cloud Computing Security--Trends and Research Directions », 2011 IEEE World Congress on Services,‎ 2011, p. 524-531 (DOI 10.1109/SERVICES.2011.20)

(en) Akhil Behl, « Emerging security challenges in cloud computing: An insight to cloud security challenges and their mitigation », 2011 World Congress on Information and Communication Technologies,‎ 2011, p. 217-222 (DOI 10.1109/WICT.2011.6141247)

(en) M F Al-Jaberi et A Zainal, « Data integrity and privacy model in cloud computing », 2014 International Symposium on Biometrics and Security Technologies (ISBAST),‎ 2014, p. 280-284 (DOI 10.1109/ISBAST.2014.7013135)

(en) Preeti Sirohi et Amit Agarwal, « Cloud computing data storage security framework relating to data integrity, privacy and trust », 2015 1st International Conference on Next Generation Computing Technologies (NGCT),‎ 2015, p. 115-118 (DOI 10.1109/NGCT.2015.7375094)

(en) G Jarlin Jeincy, R S Shaji et J P Jayan, « A secure virtual machine migration using memory space prediction for cloud computing », 2016 International Conference on Circuit, Power and Computing Technologies (ICCPCT),‎ 2016, p. 1-5 (DOI 10.1109/ICCPCT.2016.7530379)

(en) Duygu Sinanc Terzi, Ramazan Terzi et Seref Sagiroglu, « A survey on security and privacy issues in big data », 2015 10th International Conference for Internet Technology and Secured Transactions (ICITST),‎ 2015, p. 202-207 (DOI 10.1109/ICITST.2015.7412089)

(en) Gunnar Peterson, « Don't Trust. And Verify: A Security Architecture Stack for the Cloud », IEEE Security & Privacy Magazine, vol. 8,‎ 2010, p. 83-86 (DOI 10.1109/MSP.2010.149)

(en) T Y Win, H Tianfield et Q Mair, « Big Data Based Security Analytics for Protecting Virtualized Infrastructures in Cloud Computing », IEEE Transactions on Big Data, vol. 4,‎ 2018, p. 11-25 (DOI 10.1109/TBDATA.2017.2715335)

(en) Bansidhar Joshi, A Santhana Vijayan et Bineet Kumar Joshi, « Securing cloud computing environment against DDoS attacks », 2012 International Conference on Computer Communication and Informatics,‎ 2012, p. 1-5 (DOI 10.1109/ICCCI.2012.6158817)

(en) Mohammad Haghighat, Saman Zonouz et Mohamed Abdel-Mottaleb, « CloudID: Trustworthy cloud-based and cross-enterprise biometric identification », Expert Systems with Applications, vol. 42,‎ 2015, p. 7905-7916 (DOI 10.1016/j.eswa.2015.06.025)

(en) Madhan Kumar Srinivasan, K Sarukesi, Paul Rodrigues, M Sai Manoj et P Revathy, « State-of-the-art cloud computing security taxonomies », Proceedings of the International Conference on Advances in Computing, Communications and Informatics - ICACCI '12,‎ 2012, p. 470-476 (DOI 10.1145/2345396.2345474)

(en) Muhammad Adeel Javaid, « Top Threats to Cloud Computing Security », SSRN Electronic Journal,‎ 2013 (ISSN 1556-5068, DOI 10.2139/ssrn.3283211)

(en) M. Ficco et F. Palmieri, « Introducing Fraudulent Energy Consumption in Cloud Infrastructures: A New Generation of Denial-of-Service Attacks », IEEE Systems Journal, vol. 11, n^o 2,‎ 2017, p. 460-470 (DOI 10.1109/JSYST.2015.2414822)

(en) X. Sun, « Critical Security Issues in Cloud Computing: A Survey », 2018 IEEE 4th International Conference on Big Data Security on Cloud (BigDataSecurity), IEEE International Conference on High Performance and Smart Computing, (HPSC) and IEEE International Conference on Intelligent Data and Security (IDS),‎ 2018, p. 216-221 (DOI 10.1109/BDS/HPSC/IDS18.2018.00053)

(en) S. Narula, A. Jain et Prachi, « Cloud Computing Security: Amazon Web Service », 2015 Fifth International Conference on Advanced Computing & Communication Technologies,‎ 2015, p. 501-505 (DOI 10.1109/ACCT.2015.20)

(en) K. Popović et Ž Hocenski, « Cloud computing security issues and challenges », The 33rd International Convention MIPRO,‎ 2010, p. 344-349 (lire en ligne)

(en) « cloudsecurityalliance », sur cloudsecurityalliance (consulté le 19 décembre 2019)

(en) « Yahoo provides notice to additional users affected by previously disclosed 2013 data theft », sur verizonmedia.com (consulté le 2 janvier 2020)

(en) Farzad Sabahi, « Cloud computing security threats and responses », 2011 IEEE 3rd International Conference on Communication Software and Networks,‎ 2011, p. 245-249 (DOI 10.1109/ICCSN.2011.6014715)

(en) Peter Mell et Tim Grance, « The NIST Definition of Cloud Computing », NIST Special Publication 800-145,‎ septembre 2011, p. 1-7 (DOI 10.6028/NIST.SP.800-145)

(en) Damien Riquet, Gilles Grimaud et Michaël Hauspie, « Etude de l’impact des attaques distribuées et multi-chemins sur les solutions de sécurité réseaux », 9ème édition de la conférence MAnifestation des JEunes Chercheurs en Sciences et Technologies de l’Information et de la Communication, MajecSTIC 2012,‎ octobre 2012, p. 8p (HAL hal-00746991)

(en) Moussa Ouedraogo, Severine Mignon, Herve Cholez, Steven Furnell et Eric Dubois, « Security transparency: the next frontier for security research in the cloud », Journal of Cloud Computing, vol. 4,‎ avril 2015, p. 12p (DOI 10.1186/s13677-015-0037-5)

(en) Dimiter Velev et Plamena Zlateva, « Cloud Infrastructure Security », Open Research Problems in Network Security, Lecture Notes in Computer Science, Springer, vol. 6555,‎ 2011, p. 140-148 (DOI 10.1007/978-3-642-19228-9_13)

(en) Vassilka Tchifilionova, « Security and Privacy Implications of Cloud Computing – Lost in the Cloud », Open Research Problems in Network Security, Lecture Notes in Computer Science, Springer, vol. 6555,‎ 2011, p. 149-158 (DOI 10.1007/978-3-642-19228-9_14)

(en) V. Kumar et R S Rathore, « Security Issues with Virtualization in Cloud Computing », 2018 International Conference on Advances in Computing, Communication Control and Networking (ICACCCN),‎ 2018, p. 487-491 (DOI 10.1109/ICACCCN.2018.8748405)

(en) B Russo, L Valle, G Bonzagni, D Locatello, M Pancaldi et D Tosi, « Cloud Computing and the New EU General Data Protection Regulation », IEEE Cloud Computing, vol. 5, n^o 6,‎ 2018, p. 58-68 (DOI 10.1109/MCC.2018.064181121)

(en) R Ducato, « Cloud computing for s-health and the data protection challenge: Getting ready for the General Data Protection Regulation », 2016 IEEE International Smart Cities Conference (ISC2),‎ 2016, p. 1-4 (DOI 10.1109/ISC2.2016.7580803)

Yvan Gourvennec, « GDPR : quels enjeux pour le cloud computing ? », blog orange-business.com,‎ juin 2017 (lire en ligne)

« RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) », eur-lex.europa.eu,‎ avril 2016 (lire en ligne)

« Qu'est-ce qu'une machine virtuelle ? », blog redhat,‎ 2019 (lire en ligne)

(en) Hal Berghel, « Equifax and the Latest Round of Identity Theft Roulette », Computer, vol. 50,‎ 2017, p. 72-76 (ISSN 0018-9162, DOI 10.1109/MC.2017.4451227)

(en) C R Srinivasan, « Hobby hackers to billion-dollar industry: the evolution of ransomware », Computer Fraud & Security, vol. 2017, n^o 11,‎ 2017, p. 7-9 (DOI 10.1016/S1361-3723(17)30081-7)

(en) C R Srinivasan, « Hobby hackers to billion-dollar industry: the evolution of ransomware », Computer Fraud & Security, vol. 2017, n^o 11,‎ 2017, p. 7-9 (DOI 10.1016/S1361-3723(17)30081-7)

(en) Top Threats to Cloud Computing: The Egregious 11, Cloud Security Alliance, juin 2019 (lire en ligne)

(en) Top Threats to Cloud Computing: Deep Dive, Cloud Security Alliance, août 2018 (lire en ligne)

(en) Ronald L. Krutz et Russel Dean Vines, Cloud Security: A Comprehensive Guide to Secure Cloud Computing, Wiley India Pvt, 2010, 384 p. (ISBN 978-0-470-93894-2)

(en) Vic (J.R) Winkler, Securing the Cloud: Cloud Computer Security Techniques and Tactics, Syngress, 2011, 290 p. (ISBN 978-1-59749-592-9)

(en) Anthony T. Velte, Toby J. Velte et Robert Elsenpeter, Cloud Computing: A Practical Approach, McGraw-Hill, 2010, 353 p. (ISBN 978-0-07-162695-8)

(en) John W. Rittinghouse et James F. Ransome, Cloud Computing Implementation, Management, and Security, CRC Press Taylor & Francis Group, 2010, 340 p. (ISBN 978-1-4398-0680-7)

(en) Raghu Yeluri et Enrique Castro-Leon, Building the Infrastructure for Cloud Security A Solutions view, Apress, Berkeley, CA, 2014, 240 p. (ISBN 978-1-4302-6146-9, DOI 10.1007/978-1-4302-6146-9)

(en) Zhifeng Xiao et Yang Xiao, « Security and Privacy in Cloud Computing », IEEE Communications Surveys & Tutorials, vol. 15, n^o 2,‎ second quarter 2013 (ISSN 1556-5068, DOI 10.1109/SURV.2012.060912.00182)

(en) Jitender Grover et Mohit Sharma, « Cloud computing and its security issues — A review », Fifth International Conference on Computing, Communications and Networking Technologies (ICCCNT),‎ 20 novembre. 2014 (ISBN 978-1-4799-2696-1, DOI 10.1109/ICCCNT.2014.6962991)

(en) Ricardo Padilha et Fernando Pedone, « Confidentiality in the Cloud », IEEE Security & Privacy, vol. 13, n^o 1,‎ janvier-février 2015 (ISSN 1558-4046, DOI 10.1109/MSP.2015.4)

(en) Yuan Zhang, Chunxiang Xu, Xiaohui Liang, Hongwei Li, Yi Mu et Xiaojun Zhang, « "Efficient Public Verification of Data Integrity for Cloud Storage Systems from Indistinguishability Obfuscation" », IEEE Transactions on Information Forensics and Security, vol. 12, n^o 3,‎ mars 2017 (ISSN 1556-6021, DOI 10.1109/TIFS.2016.2631951)

(en) Jingwei Li, Jin Li, Dongqing Xie et Zhang Cai, « "Secure Auditing and Deduplicating Data in Cloud" », IEEE Transactions on Computers, vol. 65, n^o 8,‎ août 2016, p. 2386-2396 (ISSN 1557-9956, DOI 10.1109/TC.2015.2389960)

(en) Ashford Warwick, « Business should note Facebook data sharing, say security advisers », computerweekly.com,‎ avril 2018 (lire en ligne)

(en) Ashford Warwick, « Zuckerberg commits to Facebook becoming privacy-focused », computerweekly.com,‎ mars 2019 (lire en ligne)

(en) Michael Heller, « Hundreds of millions of Facebook passwords exposed internally », searchsecurity.techtarget.com,‎ mars 2019 (lire en ligne)

(en) Ashford Warwick, « Hundreds of millions of Facebook passwords exposed internally », computerweekly.com,‎ avril 2019 (lire en ligne)

(en) « Directive 95/46/CE », eur-lex.europa.eu,‎ 2018 (lire en ligne)

(en) S Chandra, S Paira, S Alam et G Sanyal, « A comparative survey of Symmetric and Asymmetric Key Cryptography », 2014 International Conference on Electronics, Communication and Computational Engineering (ICECCE),‎ 2014, p. 83-93 (DOI 10.1109/ICECCE.2014.7086640)

Portail de la sécurité informatique

[:100-1] {a et b} NIST Cloud def 2011, p. 2-3

[2] Sengupta 2011, p. 524

[3] Siani 2010, p. 693

[4] Massimo Ficco et Francesco Palmieri 2017, p. 460

[5] Anisetti 2017, p. 294

[6] Grimaud 2012, p. 1

[7] Deep Dive 2018, p. 3

[8] Deep Dive - LinkedIn 2018, p. 16

[9] Deep Dive - Yahoo 2018, p. 17

[10] Yahoo data theft 2017

[11] Cambridge Analytica scandal 2018

[12] Zuckerberg 2019

[13] Facebook Passwords 2019

[14] Facebook Database 2019

[15] Equifax Breach 2017, p. 72

[16] Srinivasan 2017, p. 7-9

[:8-17] {a et b} Krutz 2010, p. 141-142

[18] Farzad 2011, p. 246-247

[:9-19] {a b et c} Top Threats 2019

[20] Ouedraogo 2015, p. 4

[21] Velt 2010, p. 94

[22] Gartner's seven security issues 2011, p. 246

[23] Krutz 2010, p. 125

[24] Xiao 2013, p. 3

[25] Ricardo Padilha 2015, p. 1

[26] Hendre 2015, p. 1081

[27] Tchifilionova 2011, p. 154

[28] Rittinghouse 2010, p. 149

[29] Directive 95/46/CE 2018

[30] Winkler 2011, p. 72

[31] Tchifilionova 2011, p. 155

[32] RGPD Journal Officiel 2016

[:10-33] Russo 2018, p. 58

[:11-34] {a b et c} orange-business.com 2017

[:12-35] {a et b} Russo 2018, p. 60

[36] Russo 2018, p. 59

[37] Ducato 2016, p. 2

[38] Sirohi 2015, p. 498

[39] Krutz 2010, p. 64

[40] Krutz 2010, p. 126

[41] Yuan Zhang 2017, p. 1

[42] Jingwei Li 2016, p. 1

[43] Ronald L. Krutz 2010, p. 64

[44] Winkler 2011, p. 14

[:2-45] {a b c d et e} Security Control 2010, p. 180

[46] Winkler 2011, p. 174

[47] Peterson 2010, p. 85

[48] Winkler 2011, p. 184

[49] Winkler 2011, p. 270

[50] Krutz 2010, p. 95

[51] Krutz 2010, p. 106-110

[52] Ronald L. Krutz 2010, p. 210

[53] Sengupta 2010, p. 527

[54] Sun 2018, p. 218

[55] Ronald L. Krutz 2010, p. 212

[56] Winkler 2011, p. 138

[57] Winkler 2011, p. 92

[58] Siani 2010, p. 696

[:13-59] {a b c et d} Ronald L. Krutz 2010, p. 65-66

[60] Velev 2011, p. 145

[61] Velev 2011, p. 147

[62] Rittinghouse 2010, p. 178

[63] Winkler 2011, p. 91

[64] Krutz 2010, p. 73

[65] Rittinghouse 2010, p. 178

[66] Winkler 2011, p. 91

[67] Krutz 2010, p. 73

[68] Yeluri 2014, p. 123-129

[69] Yeluri 2014, p. 131

[:1-70] {a b et c} Yeluri 2014, p. 134

[71] Yeluri 2014, p. 136

[:14-72] {a et b} Winkler 2011, p. 145

[73] VM

[:3-74] {a b et c} Kumar 2018, p. 489-490

[75] Krutz 2010, p. 163

[:4-76] {a b c d et e} Krutz 2010, p. 165-173

[77] Kumar 2018, p. 490

[:30-78] {a et b} Rittinghouse 2010, p. 176

[79] Popović 2010, p. 348

[:5-80] {a b c et d} Winkler 2011, p. 125-128

[:6-81] {a b et c} Winkler 2011, p. 130-132

[82] Hendre 2015, p. 1082

[83] Yang 2010, p. 3

[:7-84] {a b c d et e} Winkler 2011, p. 133-135

[:230-85] {a et b} Chandra 2014, p. 83

[:231-86] {a et b} Chandra 2014, p. 84

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]