mercredi 31 juillet 2013

Sécurité : la migration Cloud de la NASA vivement critiquée

Sécurité : Si la NASA fait office de pionnier en matière d’adoption des technologies Cloud, elle s'illustre dans le même temps comme un mauvais élève sur le plan de la sécurité, notamment par son recours à des services de Cloud public sur la base de contrats standards et lacunaires.
Déjà épinglée pour la sécurité de son système d’information, l’agence spatiale américaine, la NASA, est de nouveau pointée du doigt. L’OIG (Office of the Inspector General), une agence gouvernementale, lui reproche cette fois des manquements graves dans le cadre de sa migration vers le Cloud.
Précurseur dans ce domaine, la NASA s’était dotée d’un Cloud privé dès 2009 : Nebula. Toutefois, ce dernier a finalement été fermé en 2012 suite à un benchmark de cinq mois comparant ses performances et coûts à ceux des services de Cloud public comme Microsoft et Amazon.
Une DSI sans réelle gouvernance du Cloud
Si l’OIG ne s’oppose pas au recours à des services IT en mode public, il relève néanmoins des manquements de la NASA en ce qui concerne la gouvernance de son SI et ses pratiques de gestion des risques.
Des faiblesses qui ont empêché l’Agence de « profiter pleinement des avantages du cloud computing et exposer à un risque potentiel les systèmes de la NASA et les données stockées dans le nuage » écrivent dans leur rapport les auditeurs.
Parmi les erreurs relevées, l’OIG cite notamment le cas de centres de la NASA ayant migré leurs systèmes et données sur des Cloud publics sans avoir informé ou obtenu le consentement de la DSI de la NASA.
Autre exemple : a cinq reprises, la NASA a acquis des services Cloud sur la base de contrats ne prenant pas pleinement en compte les risques métiers et de sécurité. Pire, un des systèmes de l’agence spatiale a été administré dans le Cloud durant 2 ans sans autorisation, sans plan de sécurité ou audit des mécanismes de sécurité.
Quatre contrats Cloud avec des clauses standards
Pour les auditeurs, c’est la DSI de la NASA qui est directement responsable de cette lacune en raison d’un défaut d’autorité sur le plan de la supervision, de sa lenteur à établir un contrat type réduisant les risques de sécurité du Cloud et de l’absence d’exigences de sécurité imposées aux fournisseurs de Cloud.
Si en 2012, la DSI a mis au point un contrat définissant ses besoins métiers et impératifs de sécurité pour la souscription de services de Cloud public, elle n’a en revanche pas requis que les centres de la NASA s’y conforment.
Illustration : sur les cinq contrats Cloud de la NASA audités, aucun ne fait ne serait-ce que s’approcher des bonnes pratiques recommandées pour garantir la sécurité des données. En outre, pour quatre d’entre eux, la NASA a tout bonnement accepté le contrat standard des fournisseurs, c’est-à-dire ne comportant aucune obligation en termes de mesure de la performance, de confidentialité, de sécurité IT et de sauvegarde.
Des systèmes et données plus vulnérables sur le Cloud
Et si dans le dernier cas, l’Agence a rédigé son propre contrat pour encadrer sa relation avec une SSII, ce dernier n’en souffre pas moins de graves lacunes, n’intégrant en effet pas les bonnes pratiques en matière de sécurité des données et de suivi du prestataire.
« En conséquence, les systèmes de la NASA et les données couvertes par ces cinq contrats sont soumis à un risque accru de compromission » conclut, lapidaire, l’audit.
Et si la NASA évite pour le moment la catastrophe, c’est d’abord en raison de son niveau d’investissement encore réduit dans le Cloud, qui représente 1% de son budget IT annuel, soit environ 10 million sur 1,5 milliard de dollars.
Mais la NASA prévoyant qu’au cours de 5 prochaines années, 75% de ses nouveaux projets IT passeront par le Cloud, l’OIG estime indispensable d’apporter sans tarder des corrections à sa gouvernance des systèmes d’information et à sa politique de sécurité.

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.