Architecture, outils et mécanismes de sécurisation de l'informatique en nuage et son application dans des applications critiques.
L'informatique en nuage facilite plus que jamais, l'échange de connaissances, de nouveaux services et d'accès à l'information, mais elle apporte également de nouveaux risques et de nouveaux défis en matière de sécurité. Le projet SECCRIT (Secure cloud computing for critical infrastructure IT), financé par l'UE, a donc exploré les technologies associées à l'informatique en nuage et les risques connexes qu'elle entraîne pour les infrastructures, afin de renforcer la sécurité du nuage et d'y intégrer une plus grande résilience. Réunissant des institutions spécialisées et des organisations venant d'Autriche, de Finlande, d'Allemagne, de Grèce, d'Italie, d'Espagne et du Royaume-Uni, les partenaires du projet ont travaillé sur différents niveaux pour accroître la sécurité et la résilience des infrastructures et applications critiques. Pour commencer, l'équipe a développé un catalogue des vulnérabilités comme paramètre d'entrée d'une nouvelle méthodologie d'évaluation des risques, améliorant ainsi les outils d'évaluation et la standardisation des pratiques européennes dans ce domaine. Elle a travaillé sur les spécifications politiques, la prise de décision et le renforcement du traitement sécurisé des données au sein du nuage ainsi que sur l'élaboration d'un cadre de résilience intégrant la détection des anomalies comme prestation de services. Les partenaires voulaient également développer des outils pour les pistes d'audit et l'analyse des causes profondes, un objectif impliquant de nouveaux logiciels open-source. L'équipe a également élaboré une méthode d'évaluation du profil d'assurance du nuage avec des scripts de démonstration du concept. Les composants et outils logiciels ont été améliorés avec des directives de sécurité prenant en charge les acteurs des infrastructures critiques dans l'utilisation du cloud, ainsi que des conseils technico-juridiques avec des recommandations concernant les questions techniques et juridiques pertinentes. Les exigences juridiques représentaient dès le début une préoccupation majeure pour les partenaires du projet, les systèmes développés devant être conformes à la loi afin de pouvoir être utilisés en pratique. C'est pourquoi, une approche de respect de la vie privée dès la conception a été suivie par les partenaires du projet pour le développement de résultats juridiquement conformes. L'équipe a non seulement développé et testé ces outils mais elle a également publié 38 articles scientifiques dans des journaux à comité de lecture et organisé quatre ateliers à destination des utilisateurs ainsi qu'un séminaire concernant la thématique de la sécurité du nuage informatique. Ces travaux ont également permis de clore plusieurs thèses de doctorat et contribué à différentes conférences et projets de suivi dont plusieurs plans de commercialisation d'outils logiciels. Sécuriser le cloud et conserver sa résilience pour les utilisateurs d'infrastructures sensibles permettra d'assurer une productivité ininterrompue et une efficacité commerciale et industrielle. Cette sécurité permettra aussi de manière indirecte à promouvoir la qualité de vie des citoyens européens.
Mots‑clés
SECCRIT, détection des anomalies, résilience, sécurité du nuage