vendredi 15 janvier 2010

Cyberguerre et Cloud : y'a pas un bug ?

La mondialisation a ses limites, preuve l'attaque dont ont fait l'objet plusieurs entreprises américaines, et peut-être celles d'autres pays, qui interpelle quand même quelque peu en cette période de cloudisation massive. Quid des autres entreprises en vue telles que Microsoft, Salesforce, Oracle, VMware ... ? Quid des entreprises françaises ? Il ne faut quand même pas rêver, l'intelligence économique ne date pas d'hier, alors craquer des sites fait parti du quotidien des pirates avec la participation involontaire des personnes visées grâce au mail ou au P2P gros pourfendeur de chevaux de troie. Ne parlons pas des backdoors ...

Je ne doute pas un seul instant que l'infrastructure réseau de Google soit digne de celle d'un casino, en tout cas pour le back-office, mais pourquoi ne pas soumettre aux même règles les données des utilisateurs comme les comptes Gmail ? L'un des trucs que nous utilisions sur les portails Internet -oui, j'ai commis des trucs glauques dans une ancienne vie- consistait à pratiquer une rupture de protocole entre le front et le back-office par exemple IP-IPX-IP ou de permettre des échanges de fichiers sur le SAN.

Si on reste 'on-line', après le pont filtrant pour le niveau 2, le firewall pour le niveau 3, le filtrage de ports, la commutation de niveau 4 et 7 (applicative), le filtrage dans les ports applicatifs via IDS et IPS que va-t-il donc falloir inventer ? Des APIs pour un Netview (console de gestion des exceptions du monde SNA) pour le monde open ? La ré-éducation de la couche 8 (lutilisateur) qui prend de bien mauvaises habitudes avec la banalisation de l'informatique à la maison ? Faut-il pratiquer le rejet massif d'aires BGP d'un pays sur Internet ? Politiquement incorrect, économiquement dangereux, socialement dénué de sens, ....

Non, la solution pourrait venir de l'Internet avec des connexions façon VPN point à multipoint - du Cloud privé quoi-, ou alors avec de la vérification de flux façon liste blanche Mail in Black le tout associé à des produits permettant d'appliquer dynamiquement des ACLs tels que le Cisco Nexus 1000v

En tout cas, la mise en Cloud de tout ou partie de ses datacenters soulève bien des questions et ne doit pas se faire au détriment de la sécurité, quand bien même on nous garantirait juré craché que tout va bien.

PS : quand je parle de couche, je me réfère au modèle OSI bien connu des hommes réseaux.

Aucun commentaire: