Accueil
Envoyer
Imprimer
Partager
Malgré les avantages offerts par le cloud computing, les entreprises sont encore peu nombreuses à faire confiance à cette technologie. Ce scepticisme s’explique par de sérieuses préoccupations en termes de sécurité ainsi que par le risque d’indisponibilité des applications et des données. Sur le plan stratégique, les risques présumés liés au cloud computing sont tout aussi faciles à gérer qu’avec les autres technologies des centres de données.
Une étude récente réalisée par l’ITIC (Information Technology Intelligence Corporation) aux États-Unis montre que les grandes sociétés préfèrent pour le moment rester au sec... à l’écart du « nuage ». Les responsables de l’étude de marché d’ITIC ont interrogé pas moins de 300 entreprises dans le monde entier, certaines ayant jusqu’à 100 000 salariés. Seuls 15 % d’entre-elles prévoient de déployer cette technologie dans un avenir proche, et elles sont à peine 8 % à déjà l’utiliser. Les principales craintes concernent la sécurité de l’entreprise. D’une part, on ne sait généralement pas très bien à quel endroit de la planète sont stockées les données sensibles. Qu’en est-il par exemple des aspects conformité ? Quelle est la loi (celle de quel pays ?) qui s’applique pour les informations ? Il y a ensuite la crainte que l’activité soit mise en péril à cause d’une panne de réseau un peu trop prolongée.
Comme c’est malheureusement trop souvent le cas, des craintes de ce type sont le fruit de l’aversion à la nouveauté : les rumeurs vont bon train, alors même que tout le monde ne maîtrise pas forcément bien le sujet pour autant. Cependant, quiconque sait qu’il peut y avoir des failles de sécurité, mais sait également comment s’en protéger, se montre plus serein sachant qu’il est possible de minimiser de tels risques. Dans le cas présent, les fournisseurs de cloud computing ont le devoir d’informer leurs clients des mesures de sécurité les plus appropriées. La décision quant aux solutions à utiliser peut alors être laissée à l’utilisateur final. Seuls ceux qui seront aptes à évaluer correctement leur propre niveau de sécurité individuelle pourront émerger du brouillard et trouver dans le nuage tout ce qu’il faut pour leur entreprise.
Privé contre public
Les plus graves malentendus viennent de la définition même du nuage, d’autant plus que celle-ci varie en fonction des fournisseurs et des analystes : elle implique généralement un transfert des ressources informatiques internes vers internet, qui est notoirement un réseau public où règne l’insécurité. Est-ce cependant vraiment comme cela que ça se passe ? Il est ici important de faire la distinction entre les nuages publics, du genre Amazon ou Google, et les nuages privés dédiés à des sociétés. Les premiers sont plus particulièrement adaptés aux particuliers qui souhaitent envoyer et recevoir des mails de n’importe où, ou qui veulent stocker facilement leurs fichiers et leurs photos de vacances sur le réseau. Ceux-là sont en général gratuits, mais leurs opérateurs ne prennent aucun engagement particulier. En cas de panne, les utilisateurs n’ont plus qu’à patienter jusqu’à ce que le service reprenne. En cas de crash d’un serveur de messagerie ou d’un disque dur, les données risquent de ne pas y survivre. Sécurité et contrats de service : hors sujet.
No risk, no fun ? Cette philosophie, de plus en plus courante dans la sphère privée, est clairement à l’opposé des besoins du monde de l’entreprise. La survie d’une entreprise est souvent tributaire de la sécurité de ses données. Il faut protéger les ressources de toute manipulation, tout en maintenant un niveau élevé de disponibilité. Privées de leurs données, la plupart des sociétés sur la planète se retrouveraient au bord de la faillite au bout d’une semaine. Outre les lourdes pertes financières, il en va également de leur image si, par exemple, des informations concernant le développement d’un nouveau produit venait à être divulguées avant leur publication officielle. Les entreprises doivent-elles donc passer à côté des possibilités offertes par le cloud computing, sa souplesse extraordinaire et son modèle de paiement à l’utilisation ? La solution passe par un nuage « privé », c’est-à-dire un compromis entre le concept de nuage et une connexion dédiée vers un centre de données. Dans ce cas, les données ne passent pas par le réseau public Internet, mais via un tunnel à travers le réseau du prestataire.
Choisir son prestataire de service
Pour les entreprises qui font le grand saut dans le cloud computing, l’enjeu le plus important est probablement de trouver le bon prestataire. Elles doivent étudier de près les services proposés et les performances effectives fournies par le prestataire. Est-il par exemple en mesure de satisfaire les besoins qui vous sont spécifiques ? Quel est son niveau de compréhension des besoins spécifiques dans votre secteur ? Avant de prendre une décision, il peut également être utile de savoir si le prestataire est en mesure de présenter des certifications reconnues pour faire la preuve de ses capacités. Il peut s’agir des normes DIN ISO 27001 pour la sécurité du traitement de l’information, DIN ISO 9001 pour les systèmes de gestion de la qualité, DIN ISO 20000 pour la gestion des services informatiques, ou bien ITIL (IT Infrastructure Library).
Les grands prestataires informatiques fournissent les mêmes services à leurs très nombreux clients. Les économies d’échelle leur permettent de déployer des technologies qui autrement seraient inabordables pour une seule entreprise. Il faut également avoir un personnel doté des compétences techniques adéquates, et maintenir à jour ces connaissances au prix de formations régulières. Au lieu de cela, dans le cadre du package, il bénéficie du savoir-faire industriel et technique du prestataire. Il s’y retrouve rapidement, en particulier dans le domaine de la sécurité. Les attaques proviennent généralement d’individus particulièrement au fait des outils les plus récents, et rester dans la course pour pouvoir lutter contre ce type de menaces nécessite des investissements financiers et humains importants.
L’importance d’une vision globale de la sécurité
Ceci dit, les entreprises ne peuvent pas se contenter de transférer l’ensemble de leur sécurité comme ça au prestataire. Elles doivent d’abord étudier en profondeur avec celui-ci le niveau de protection nécessaire. Le prestataire doit expliquer à son client les risques auxquels il peut se retrouver confronté, et lui dire ce qu’il est précisément possible de faire pour y remédier. Ce n’est qu’après une analyse approfondie des risques, qu’il sera possible de définir une solution personnalisée apte à réponde à toutes les exigences de sécurité.
Tout comme avec les environnements informatiques classiques, il ne suffit pas d’éradiquer les failles de sécurité au moment où elles surviennent, c’est exactement la même chose avec le cloud computing. D’autre part, une entreprise n’a pas non plus besoin de déployer toutes les technologies de sécurité du marché. Il vaut mieux qu’elle en fasse l’acquisition auprès d’un prestataire sérieux, et sur une base modulaire qui corresponde vraiment à ses besoins. Des évaluations des risques et des audits réguliers, éventuellement sous forme de tests d’intrusion, viennent ensuite compléter cette vision globale. Cela permet d’identifier rapidement tout nouveau point faible et de prendre les mesures nécessaires pour y remédier. La sélection précise et l’actualisation permanente des mesures de sécurité est fondamentale avec le cloud computing, dans la mesure où le niveau élevé de décentralisation et la répartition des applications et des données augmentent d’autant plus le nombre de vecteurs d’attaques et de menaces.
Si les exigences de sécurité sont définies avec exactitude, elles peuvent être explicitées dans des SLA (les contrats de niveau de service) de bout en bout, dont le périmètre va de la production dans le centre de données jusqu’aux réseaux et aux PC ou périphériques mobiles des utilisateurs au sein de l’entreprise. Dans son propre réseau, le prestataire de service peut garantir le respect des SLA, même à l’intérieur du nuage. Le client peut alors juger objectivement de la qualité et de la fiabilité du service informatique offert. Par exemple, à l’intérieur de son réseau MPLS (multi-protocol label switching), T-Systems est même en mesure de donner la priorité la plus haute aux applications du nuage. Celles-ci prennent alors le pas sur les applications de moindre importance. Cela permet d’éviter les ralentissements au sein du réseau et d’assurer un niveau élevé de disponibilité.
Le fait qu’un point central spécialisé contrôle et gère l’ensemble des opérations (implémentation, configuration, déploiement, gestion des mises à jour et des correctifs, sauvegardes, etc.) facilite également le respect des mesures de sécurité. C’est le seul moyen de s’assurer que toutes ces opérations s’imbriquent et fonctionnent avec une précision d’horloge à tous les niveaux. Cela permet même aux appareils mobiles de s’intégrer en toute sécurité dans le nuage (voir encadré).
Tout est très clairement séparé avec les VLAN
Malgré un grand nombre de points communs pour tout ce qui concerne la sécurité, le nuage virtuel présente des contraintes spécifiques par rapport à l’infogérance telle qu’elle se pratique habituellement. Prenons par exemple le cas de la protection des données : comme plusieurs sociétés se partagent les serveurs du centre de données, qui attribue à chacune d’elle les ressources dont elle a besoin, il faut veiller à ce qu’aucune ne puisse accéder aux données des autres. Le problème est de maintenir une séparation très claire entre les applications et entre les données de chaque client. Ceci est rendu possible par ce qu’on appelle les VLAN (LAN virtuels). Grâce à ceux-ci, chaque client bénéficie automatiquement de sa propre connexion au serveur. L’ordinateur peut alors avoir n’importe quel nombre de chemins d’accès.
L’administration des VLAN passe par un commutateur central, vers lequel convergent tous les câbles réseau. Le commutateur attribue automatiquement un VLAN à chaque client. Celui-ci ne peut travailler que dans la zone qui lui est allouée. Les VLAN sont entièrement isolés les uns des autres. Un individu mal intentionné n’a aucun moyen de trouver une autre façon de pénétrer via le commutateur.
Les ordinateurs eux-mêmes sont partitionnés en 20 unités au maximum. Chaque client se voit attribuer un disque avec son accès VLAN. Il leur est impossible de sauter de leur propre partition à celle d’une autre société. Cela signifie par exemple que des applications SAP et Oracle peuvent très bien cohabiter sur le même serveur, sans qu’aucune information ne puisse filtrer entre les deux. Les ordinateurs sont aussi totalement isolés du réseau public Internet. Les applications web comme les applications de facturation en ligne tournent sur des domaines de service séparés. Cela évite tout risque d’attaque contre les applications critiques à partir du web.
Et pour finir, tous les ensembles de données sont également séparés les uns des autres au niveau du stockage. La technologie utilisée permet de les protéger en écriture, et de les archiver en garantissant leur inviolabilité.
Intégrer les systèmes au nuage en toute sécurité
Chaque application est donc disponible dans le centre de données pour chaque client, et est isolée des autres applications. Les entreprises ont néanmoins souvent besoin que les applications puissent communiquer entre elles. Il se peut, par exemple, que les collaborateurs aient à rédiger des mails directement depuis SAP. Pour ce faire, le prestataire de cloud computing peut combiner des applications séparées pour un utilisateur du nuage, de telle sorte que celles-ci puissent fonctionner conjointement en suivant des règles clairement spécifiées. Tout cela est bien sûr invisible pour les autres entreprises. Il est également possible de s’intégrer à l’environnement applicatif non dynamique déjà existant chez un client, et cela sans pour autant laisser la porte ouverte aux attaques de toutes sortes. Il est même possible d’intégrer des systèmes spécifiques, pour que des départements ou services différents puissent travailler ensemble harmonieusement, par exemple.
Pour chaque utilisateur du nuage, les autres entreprises ne doivent pas être autorisées à voir ses informations confidentielles. Il doit également demander à ses prestataires comment ceux-ci gèrent les droits d’accès. En particulier, les données critiques doivent être stockées dans le centre de données de façon à ce que même le personnel du prestataire ne puisse pas consulter, modifier ou supprimer celles-ci. Si l’accès à ces informations est inévitable pour une opération spécifique, le prestataire doit d’abord en demander la permission à son client. Cela doit être le seul moyen d’obtenir la clé d’accès aux données.
S’il souhaite quitter le nuage, le client doit pouvoir à tout moment récupérer l’intégralité des informations qui lui appartiennent. C’est pourquoi les entreprises doivent pouvoir connaître la stabilité financière du prestataire dès le jour où le contrat est signé. Dans certains cas, une insolvabilité peut mettre en péril la disponibilité de leurs données.
L’identité derrière le nuage
C’est aussi le cas côté client : le « besoin de savoir » est un principe qui signifie que seuls les collaborateurs autorisés doivent pouvoir accéder aux informations dont ils ont effectivement besoin pour travailler. À l’instar des modèles d’infogérance habituels, des mécanismes de chiffrement et de sécurité des accès permettent de gérer ce type de rôles et de droits. Les infrastructures à clés publiques (ou PKI : Public key infrastructures) garantissent par exemple que c’est bien le collaborateur souhaité qui se connecte au système. Celles-ci n’autorisent l’accès qu’après une identification réussie, par exemple avec une carte à puce et une fonction de signature, ou avec une carte SIM (Subscriber Identity Module) et un mot de passe à usage unique via le téléphone portable de l’utilisateur. Une infrastructure de type PKI empêche ainsi que les liens de communication soient espionnés ou détournés, ou que des logiciels malveillants soient introduits dans le réseau.
Les prestataires de cloud computing les plus importants possèdent leurs propres centres de confiance. Ceux-ci délivrent des certificats qui permettent l’authentification sur un système donné. Pour obtenir un accès, un utilisateur autorisé doit avoir ces identifiants numériques. Ces certificats constituent également, pour les collaborateurs auxquels ils sont attribués, un moyen fiable de se reconnaître entre eux. Après un échange d’identifiants, chacun d’eux sait que c’est bien le contact escompté qui communique effectivement avec lui à l’autre bout. Ainsi, même dans une situation de cloud computing, des réseaux interentreprises et interservices sécurisés peuvent être mis en place pour une coopération au quotidien.
Dites-moi où vous mettez les données
Dans le cloud computing, on observe également une grande incertitude due à un autre facteur qui diffère fondamentalement de l’infogérance classique : normalement, l’utilisateur ne sait pas exactement sur quel système, dans quel centre de données, ni même dans quel pays le prestataire stocke effectivement ses données. Cette absence de visibilité peut mettre en péril les entreprises. Lorsque les données traversent les frontières entre les pays, il se peut qu’elles ne répondent pas aux besoins de sécurité fondamentaux, ou qu’elles ne respectent pas la législation en vigueur ou les règles spécifiques au secteur. En France et en Pologne, par exemple, il est interdit de conserver des données financières hors du pays. Aux États-Unis et dans certains autres pays, les technologies de sécurité comme le chiffrement entrent dans le cadre de la loi sur le contrôle des armes et ne sont autorisées que dans certains cas exceptionnels. Il est aussi souvent difficile de savoir qui est responsable en cas de perte de données dans l’État XY, et ce que recouvre cette responsabilité.
Il existe également des risques liés aux différences entre les législations, par exemple pour les lois sur les écoutes illégales ou les accès non détectés. Dans certains États, les autorités peuvent exiger des sauvegardes complètes, à tout moment et sans préavis. La liste des différences en termes de protection des données est quasiment sans fin. Beaucoup de prestataires de services informatiques internationaux décident donc délibérément de ne pas installer leurs centres de données dans certains pays. Dans le nuage privé de T-Systems, l’utilisateur peut déterminer lui-même le lieu de stockage de ses données.
Le nuage préfère l’Union européenne
Les prestataires dans l’Union européenne sont donc les plus idéalement situés pour exploiter le nuage dans un environnement commercial. Dans la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, l’Union européenne a introduit une norme minimale pour la protection et la sécurité des données. Par exemple, tout transfert de données à caractère personnel est soumis au consentement préalable de l’intéressé. Les données liées à une commande ne peuvent être traitées qu’au sein des frontières de l’Union européenne ou de l’Espace économique européen (EEE). Les administrations exigent généralement que le traitement de leurs données se fasse dans leur propre pays, et en font une condition nécessaire à l’attribution d’un contrat. Curieusement, les États-Unis n’ont pas encore de directives officielles concernant la protection des données. Seuls certains types spécifiques de traitement y sont interdits. Chaque citoyen a, par exemple, accès sans difficultés aux documents officiels.
Savoir où se trouvent les informations pose néanmoins encore un autre problème : certaines grandes sociétés veulent s’assurer que leurs données et applications sont stockées dans un centre de données avec sécurité intégrée, celui-ci étant également bien protégé contre toute catastrophe naturelle (séisme, ouragan, inondation...) de par sa situation géographique. C’est pour cette raison qu’une compagnie pétrolière internationale a explicitement choisi que ses services de cloud computing soient hébergés à Munich.
Transfert de données sécurisé
Le backbone de tout nuage repose sur des réseaux à haut débit stables, dans lesquels la sécurité des informations peut être assurée de deux façons. Le niveau le plus élevé de sécurité est fourni par des connexions point à point dédiées, qui vont du centre de données vers le client. Dans les réseaux MPLS, il est possible de mettre en place une ligne complètement isolée pour chacun des clients. La deuxième option prend la forme de connexions cryptées, soit via des liaisons de type tunnel au dessus du réseau public Internet (appelées réseaux privés virtuels ou VPN), soit via le protocole SSL (secure socket layer).
Cependant, quelle que soit la façon dont est effectivement implémentée la connexion réseau, il faut qu’elle soit dupliquée exactement comme pour de l’infogérance classique, c’est à dire avec deux lignes séparées physiquement. Si l’une des deux connexions tombe en panne, l’autre peut donc prendre la main de façon transparente. Il est également conseillé de maintenir des copies en miroir de toutes les informations dans deux centres de données différents. Ce n’est en aucun cas contradictoire avec la philosophie du cloud computing si, sur les deux sites, les serveurs sont partagés entre plusieurs sociétés.
Des pare-feux pour protéger les différents segments de réseau
Des pare-feux sont utilisés pour protéger les différents segments de réseau. Ils contrôlent les données relatives au trafic, et appliquent des règles pour déterminer quels paquets doivent être ou non routés à travers le réseau. Ceci offre une protection contre tout accès non autorisé. Ils génèrent également des tables d’état et de contexte pour toutes les connexions réseau. Cela leur permet de détecter des corrélations entre les paquets. C’est ce qu’on appelle le suivi de communication ou stateful inspection en anglais. Une fois une connexion établie, ils peuvent alors détecter si un système envoie des données non autorisées et bloquer immédiatement celles-ci. De très nombreux paquets du même type peuvent être la signature d’une attaque par déni de service (ou DoS : denial-of-service) destinée à paralyser le réseau. Les pare-feux constituent donc un mécanisme de détection crucial, qui contribue à maintenir la disponibilité des données et des applications. L’une des tâches dévolues aux équipes d’intervention rapide, appelées CERT (computer emergency response teams), est de s’assurer que le centre de données est à tout moment configuré correctement.
Les pare-feux avec inspection en profondeur vont un peu plus loin, puisqu’ils sont capables de détecter des attaques au niveau application. Ils bloquent les violations de protocole, les virus, les spams et autres contenus nuisibles comme les chevaux de Troie. Ils permettent également de lutter contre ce qu’on appelle les attaques de type « homme du milieu » (« man-in-the-middle » en anglais), dans lesquelles une personne extérieure intercepte les communications entre deux parties, et elle se fait passer pour l’une d’entre elles pour induire l’autre en erreur et l’amener à réaliser des actions non souhaitées. Les collaborateurs du prestataire du nuage lancent ce type d’attaques à intervalles réguliers pour tester l’efficacité des pare-feux.
Systèmes de surveillance et d’alerte précoce
Pour garantir que la sécurité fait partie intégrante de tous les processus de l’entreprise avec le cloud computing, les composants sensibles de ces derniers doivent être vérifiés en permanence, et mis à jour à chaque fois que c’est nécessaire. Dans les centres de données importants, des modules spéciaux s’exécutent automatiquement sur les serveurs, pour vérifier que les paramètres de sécurité spécifiés restent constants. Tous les pare-feux, antivirus et systèmes de détection d’intrusion (ou IDS : intrusion detection systems) font également l’objet d’une surveillance automatique permanente. Les systèmes d’alerte précoce utilisent des méthodes de data mining (exploration de données) pour rechercher les points faibles avant que ceux-ci ne se transforment en menaces. Les hackers passent souvent beaucoup de temps à parcourir les différents ordinateurs pour trouver la faille qui leur permettra d’entrer. Des systèmes d’analyse intelligente (informations de sécurité et gestion d’événements) utilisent entre autres les journaux (les fichiers log) pour y détecter les signatures d’attaques à long terme pour, en quelque sorte, tuer celles-ci dans l’œuf.
L’infrastructure informatique du centre de données peut également être surveillée automatiquement, pour s’assurer qu’elle reste conforme à certaines dispositions réglementaires, notamment la loi Sarbanes-Oxley (S-OX). Cette réglementation, qui concerne les marchés de capitaux, s’applique à toute société cotée en bourse aux États-Unis. Tous les ans, celles-ci doivent passer en revue et documenter leur Système de Contrôle Interne (ICS : Internal Control System) au regard des dispositions de la loi, et faire analyser leur ICS par des auditeurs externes. Au sein du système, les mots de passe doivent tous être d’une certaine longueur. Si ce n’est pas le cas, il existe un système au niveau du centre de données qui détecte automatiquement le problème. Les membres de l’équipe de prévention CERT peuvent alors prendre immédiatement les mesures nécessaires.
La tête dans les nuages
Quelle que soit l’ampleur de la sécurité qu’un prestataire important de cloud computing peut offrir, la sécurité reste encore toujours la préoccupation majeure de l’ensemble du personnel. Les sessions de formation et les ateliers réguliers permettent d’augmenter le niveau de sensibilisation générale vis-à-vis du traitement des solutions informatiques. C’est seulement en étant capable d’identifier les éventuels problèmes de sécurité qu’une personne peut les éviter en prenant les mesures adéquates. Les prestataires sont également des partenaires qui mettent en œuvre des programmes en interne et en externe pour améliorer le niveau général de protection et développer la meilleure politique de sécurité pour une entreprise donnée. Tout l’art du prestataire de cloud computing réside dans sa capacité à veiller à ce que les systèmes soient tous conçus de telle façon que toutes les fonctions de sécurité protègent les utilisateurs sans pour autant les gêner dans leur travail.
Accès mobile sécurisé au nuage
Si une entreprise accède, via un réseau IP, à tous ses services et données hébergés par un centre de données, ses collaborateurs peuvent utiliser tout type de terminal pour accéder à leur interface utilisateur personnelle, en tout lieu et à tout moment. Ils s’authentifient sur le serveur central du centre de données au moyen d’une clé USB qui contient une carte à puce intégrée. Ils peuvent ensuite utiliser le terminal de la même façon qu’un ordinateur portable classique, que ce soit dans leur hôtel, à l’aéroport, avec un contact commercial ou depuis un cybercafé. Quand l’utilisateur met la clé dans le port USB de n’importe quel ordinateur connecté à Internet, une connexion est automatiquement établie vers un récepteur du centre de données grâce au client intégré. Une fois dûment authentifié, l’utilisateur peut accéder à ses données et à ses applications. Une fois qu’il a repris sa clé USB, plus aucune trace de son passage ne subsiste sur l’ordinateur.
Les téléphones portables, les PDA et les smartphones sur lesquels sont installées les applications peuvent être cryptés avec le même niveau de fiabilité. Dans ce cas aussi, l’utilisateur doit commencer par s’authentifier au moyen d’une carte de chiffrement (crypto-card). S’il égare son terminal, il peut le signaler au personnel du centre de données, qui le réinitialisera alors à distance. Cela évite que les données tombent dans de mauvaises mains. L’entreprise, quant à elle, ne perd aucune information de valeur, dans la mesure où tout est parfaitement mirroré au niveau du centre de données. En fonctionnement normal, toutes les données sur le terminal seront automatiquement synchronisées à intervalle régulier avec les serveurs centraux.
Les politiques de sécurité mises en place par une entreprise peuvent ainsi être facilement implémentées au sein du nuage, y compris pour les utilisateurs mobiles, jusqu’au moindre détail : les fonctions de certains appareils (comme les caméras intégrées) peuvent être automatiquement désactivées dans certaines zones, par exemple. Dans l’industrie manufacturière, par exemple, cela permet d’éviter que des photos de nouveaux produits atterrissent accidentellement dans de mauvaises mains, voire sur Internet.
Il n’y a pas non plus de compromis sur la gestion de la qualité : les experts en sécurité du centre de données ont toute latitude pour tester les nouveaux correctifs qui sortent, avant de les appliquer sur les ordinateurs. Dans le cas où il n’existe encore aucun patch face à une faille de sécurité susceptible de constituer une menace grave pour les ordinateurs portables et équivalents (le problème du « jour zéro », c’est-à-dire le jour où apparaît la menace), il leur suffit d’appuyer sur un bouton pour bloquer immédiatement à distance l’accès concerné
Par :
Rene Reutter, Head of Seamless ICT Security Infrastructure and Management, CISSP,
et
Thorsten Zenker, Senior Fellow, ICT Operations, tous deux chez T-Systems.
Retrouvez un jeudi tous les quinze jours l'actualité du BPM sur :
www.bpm-channel.com
Une étude récente réalisée par l’ITIC (Information Technology Intelligence Corporation) aux États-Unis montre que les grandes sociétés préfèrent pour le moment rester au sec... à l’écart du « nuage ». Les responsables de l’étude de marché d’ITIC ont interrogé pas moins de 300 entreprises dans le monde entier, certaines ayant jusqu’à 100 000 salariés. Seuls 15 % d’entre-elles prévoient de déployer cette technologie dans un avenir proche, et elles sont à peine 8 % à déjà l’utiliser. Les principales craintes concernent la sécurité de l’entreprise. D’une part, on ne sait généralement pas très bien à quel endroit de la planète sont stockées les données sensibles. Qu’en est-il par exemple des aspects conformité ? Quelle est la loi (celle de quel pays ?) qui s’applique pour les informations ? Il y a ensuite la crainte que l’activité soit mise en péril à cause d’une panne de réseau un peu trop prolongée.
Comme c’est malheureusement trop souvent le cas, des craintes de ce type sont le fruit de l’aversion à la nouveauté : les rumeurs vont bon train, alors même que tout le monde ne maîtrise pas forcément bien le sujet pour autant. Cependant, quiconque sait qu’il peut y avoir des failles de sécurité, mais sait également comment s’en protéger, se montre plus serein sachant qu’il est possible de minimiser de tels risques. Dans le cas présent, les fournisseurs de cloud computing ont le devoir d’informer leurs clients des mesures de sécurité les plus appropriées. La décision quant aux solutions à utiliser peut alors être laissée à l’utilisateur final. Seuls ceux qui seront aptes à évaluer correctement leur propre niveau de sécurité individuelle pourront émerger du brouillard et trouver dans le nuage tout ce qu’il faut pour leur entreprise.
Privé contre public
Les plus graves malentendus viennent de la définition même du nuage, d’autant plus que celle-ci varie en fonction des fournisseurs et des analystes : elle implique généralement un transfert des ressources informatiques internes vers internet, qui est notoirement un réseau public où règne l’insécurité. Est-ce cependant vraiment comme cela que ça se passe ? Il est ici important de faire la distinction entre les nuages publics, du genre Amazon ou Google, et les nuages privés dédiés à des sociétés. Les premiers sont plus particulièrement adaptés aux particuliers qui souhaitent envoyer et recevoir des mails de n’importe où, ou qui veulent stocker facilement leurs fichiers et leurs photos de vacances sur le réseau. Ceux-là sont en général gratuits, mais leurs opérateurs ne prennent aucun engagement particulier. En cas de panne, les utilisateurs n’ont plus qu’à patienter jusqu’à ce que le service reprenne. En cas de crash d’un serveur de messagerie ou d’un disque dur, les données risquent de ne pas y survivre. Sécurité et contrats de service : hors sujet.
No risk, no fun ? Cette philosophie, de plus en plus courante dans la sphère privée, est clairement à l’opposé des besoins du monde de l’entreprise. La survie d’une entreprise est souvent tributaire de la sécurité de ses données. Il faut protéger les ressources de toute manipulation, tout en maintenant un niveau élevé de disponibilité. Privées de leurs données, la plupart des sociétés sur la planète se retrouveraient au bord de la faillite au bout d’une semaine. Outre les lourdes pertes financières, il en va également de leur image si, par exemple, des informations concernant le développement d’un nouveau produit venait à être divulguées avant leur publication officielle. Les entreprises doivent-elles donc passer à côté des possibilités offertes par le cloud computing, sa souplesse extraordinaire et son modèle de paiement à l’utilisation ? La solution passe par un nuage « privé », c’est-à-dire un compromis entre le concept de nuage et une connexion dédiée vers un centre de données. Dans ce cas, les données ne passent pas par le réseau public Internet, mais via un tunnel à travers le réseau du prestataire.
Choisir son prestataire de service
Pour les entreprises qui font le grand saut dans le cloud computing, l’enjeu le plus important est probablement de trouver le bon prestataire. Elles doivent étudier de près les services proposés et les performances effectives fournies par le prestataire. Est-il par exemple en mesure de satisfaire les besoins qui vous sont spécifiques ? Quel est son niveau de compréhension des besoins spécifiques dans votre secteur ? Avant de prendre une décision, il peut également être utile de savoir si le prestataire est en mesure de présenter des certifications reconnues pour faire la preuve de ses capacités. Il peut s’agir des normes DIN ISO 27001 pour la sécurité du traitement de l’information, DIN ISO 9001 pour les systèmes de gestion de la qualité, DIN ISO 20000 pour la gestion des services informatiques, ou bien ITIL (IT Infrastructure Library).
Les grands prestataires informatiques fournissent les mêmes services à leurs très nombreux clients. Les économies d’échelle leur permettent de déployer des technologies qui autrement seraient inabordables pour une seule entreprise. Il faut également avoir un personnel doté des compétences techniques adéquates, et maintenir à jour ces connaissances au prix de formations régulières. Au lieu de cela, dans le cadre du package, il bénéficie du savoir-faire industriel et technique du prestataire. Il s’y retrouve rapidement, en particulier dans le domaine de la sécurité. Les attaques proviennent généralement d’individus particulièrement au fait des outils les plus récents, et rester dans la course pour pouvoir lutter contre ce type de menaces nécessite des investissements financiers et humains importants.
L’importance d’une vision globale de la sécurité
Ceci dit, les entreprises ne peuvent pas se contenter de transférer l’ensemble de leur sécurité comme ça au prestataire. Elles doivent d’abord étudier en profondeur avec celui-ci le niveau de protection nécessaire. Le prestataire doit expliquer à son client les risques auxquels il peut se retrouver confronté, et lui dire ce qu’il est précisément possible de faire pour y remédier. Ce n’est qu’après une analyse approfondie des risques, qu’il sera possible de définir une solution personnalisée apte à réponde à toutes les exigences de sécurité.
Tout comme avec les environnements informatiques classiques, il ne suffit pas d’éradiquer les failles de sécurité au moment où elles surviennent, c’est exactement la même chose avec le cloud computing. D’autre part, une entreprise n’a pas non plus besoin de déployer toutes les technologies de sécurité du marché. Il vaut mieux qu’elle en fasse l’acquisition auprès d’un prestataire sérieux, et sur une base modulaire qui corresponde vraiment à ses besoins. Des évaluations des risques et des audits réguliers, éventuellement sous forme de tests d’intrusion, viennent ensuite compléter cette vision globale. Cela permet d’identifier rapidement tout nouveau point faible et de prendre les mesures nécessaires pour y remédier. La sélection précise et l’actualisation permanente des mesures de sécurité est fondamentale avec le cloud computing, dans la mesure où le niveau élevé de décentralisation et la répartition des applications et des données augmentent d’autant plus le nombre de vecteurs d’attaques et de menaces.
Si les exigences de sécurité sont définies avec exactitude, elles peuvent être explicitées dans des SLA (les contrats de niveau de service) de bout en bout, dont le périmètre va de la production dans le centre de données jusqu’aux réseaux et aux PC ou périphériques mobiles des utilisateurs au sein de l’entreprise. Dans son propre réseau, le prestataire de service peut garantir le respect des SLA, même à l’intérieur du nuage. Le client peut alors juger objectivement de la qualité et de la fiabilité du service informatique offert. Par exemple, à l’intérieur de son réseau MPLS (multi-protocol label switching), T-Systems est même en mesure de donner la priorité la plus haute aux applications du nuage. Celles-ci prennent alors le pas sur les applications de moindre importance. Cela permet d’éviter les ralentissements au sein du réseau et d’assurer un niveau élevé de disponibilité.
Le fait qu’un point central spécialisé contrôle et gère l’ensemble des opérations (implémentation, configuration, déploiement, gestion des mises à jour et des correctifs, sauvegardes, etc.) facilite également le respect des mesures de sécurité. C’est le seul moyen de s’assurer que toutes ces opérations s’imbriquent et fonctionnent avec une précision d’horloge à tous les niveaux. Cela permet même aux appareils mobiles de s’intégrer en toute sécurité dans le nuage (voir encadré).
Tout est très clairement séparé avec les VLAN
Malgré un grand nombre de points communs pour tout ce qui concerne la sécurité, le nuage virtuel présente des contraintes spécifiques par rapport à l’infogérance telle qu’elle se pratique habituellement. Prenons par exemple le cas de la protection des données : comme plusieurs sociétés se partagent les serveurs du centre de données, qui attribue à chacune d’elle les ressources dont elle a besoin, il faut veiller à ce qu’aucune ne puisse accéder aux données des autres. Le problème est de maintenir une séparation très claire entre les applications et entre les données de chaque client. Ceci est rendu possible par ce qu’on appelle les VLAN (LAN virtuels). Grâce à ceux-ci, chaque client bénéficie automatiquement de sa propre connexion au serveur. L’ordinateur peut alors avoir n’importe quel nombre de chemins d’accès.
L’administration des VLAN passe par un commutateur central, vers lequel convergent tous les câbles réseau. Le commutateur attribue automatiquement un VLAN à chaque client. Celui-ci ne peut travailler que dans la zone qui lui est allouée. Les VLAN sont entièrement isolés les uns des autres. Un individu mal intentionné n’a aucun moyen de trouver une autre façon de pénétrer via le commutateur.
Les ordinateurs eux-mêmes sont partitionnés en 20 unités au maximum. Chaque client se voit attribuer un disque avec son accès VLAN. Il leur est impossible de sauter de leur propre partition à celle d’une autre société. Cela signifie par exemple que des applications SAP et Oracle peuvent très bien cohabiter sur le même serveur, sans qu’aucune information ne puisse filtrer entre les deux. Les ordinateurs sont aussi totalement isolés du réseau public Internet. Les applications web comme les applications de facturation en ligne tournent sur des domaines de service séparés. Cela évite tout risque d’attaque contre les applications critiques à partir du web.
Et pour finir, tous les ensembles de données sont également séparés les uns des autres au niveau du stockage. La technologie utilisée permet de les protéger en écriture, et de les archiver en garantissant leur inviolabilité.
Intégrer les systèmes au nuage en toute sécurité
Chaque application est donc disponible dans le centre de données pour chaque client, et est isolée des autres applications. Les entreprises ont néanmoins souvent besoin que les applications puissent communiquer entre elles. Il se peut, par exemple, que les collaborateurs aient à rédiger des mails directement depuis SAP. Pour ce faire, le prestataire de cloud computing peut combiner des applications séparées pour un utilisateur du nuage, de telle sorte que celles-ci puissent fonctionner conjointement en suivant des règles clairement spécifiées. Tout cela est bien sûr invisible pour les autres entreprises. Il est également possible de s’intégrer à l’environnement applicatif non dynamique déjà existant chez un client, et cela sans pour autant laisser la porte ouverte aux attaques de toutes sortes. Il est même possible d’intégrer des systèmes spécifiques, pour que des départements ou services différents puissent travailler ensemble harmonieusement, par exemple.
Pour chaque utilisateur du nuage, les autres entreprises ne doivent pas être autorisées à voir ses informations confidentielles. Il doit également demander à ses prestataires comment ceux-ci gèrent les droits d’accès. En particulier, les données critiques doivent être stockées dans le centre de données de façon à ce que même le personnel du prestataire ne puisse pas consulter, modifier ou supprimer celles-ci. Si l’accès à ces informations est inévitable pour une opération spécifique, le prestataire doit d’abord en demander la permission à son client. Cela doit être le seul moyen d’obtenir la clé d’accès aux données.
S’il souhaite quitter le nuage, le client doit pouvoir à tout moment récupérer l’intégralité des informations qui lui appartiennent. C’est pourquoi les entreprises doivent pouvoir connaître la stabilité financière du prestataire dès le jour où le contrat est signé. Dans certains cas, une insolvabilité peut mettre en péril la disponibilité de leurs données.
L’identité derrière le nuage
C’est aussi le cas côté client : le « besoin de savoir » est un principe qui signifie que seuls les collaborateurs autorisés doivent pouvoir accéder aux informations dont ils ont effectivement besoin pour travailler. À l’instar des modèles d’infogérance habituels, des mécanismes de chiffrement et de sécurité des accès permettent de gérer ce type de rôles et de droits. Les infrastructures à clés publiques (ou PKI : Public key infrastructures) garantissent par exemple que c’est bien le collaborateur souhaité qui se connecte au système. Celles-ci n’autorisent l’accès qu’après une identification réussie, par exemple avec une carte à puce et une fonction de signature, ou avec une carte SIM (Subscriber Identity Module) et un mot de passe à usage unique via le téléphone portable de l’utilisateur. Une infrastructure de type PKI empêche ainsi que les liens de communication soient espionnés ou détournés, ou que des logiciels malveillants soient introduits dans le réseau.
Les prestataires de cloud computing les plus importants possèdent leurs propres centres de confiance. Ceux-ci délivrent des certificats qui permettent l’authentification sur un système donné. Pour obtenir un accès, un utilisateur autorisé doit avoir ces identifiants numériques. Ces certificats constituent également, pour les collaborateurs auxquels ils sont attribués, un moyen fiable de se reconnaître entre eux. Après un échange d’identifiants, chacun d’eux sait que c’est bien le contact escompté qui communique effectivement avec lui à l’autre bout. Ainsi, même dans une situation de cloud computing, des réseaux interentreprises et interservices sécurisés peuvent être mis en place pour une coopération au quotidien.
Dites-moi où vous mettez les données
Dans le cloud computing, on observe également une grande incertitude due à un autre facteur qui diffère fondamentalement de l’infogérance classique : normalement, l’utilisateur ne sait pas exactement sur quel système, dans quel centre de données, ni même dans quel pays le prestataire stocke effectivement ses données. Cette absence de visibilité peut mettre en péril les entreprises. Lorsque les données traversent les frontières entre les pays, il se peut qu’elles ne répondent pas aux besoins de sécurité fondamentaux, ou qu’elles ne respectent pas la législation en vigueur ou les règles spécifiques au secteur. En France et en Pologne, par exemple, il est interdit de conserver des données financières hors du pays. Aux États-Unis et dans certains autres pays, les technologies de sécurité comme le chiffrement entrent dans le cadre de la loi sur le contrôle des armes et ne sont autorisées que dans certains cas exceptionnels. Il est aussi souvent difficile de savoir qui est responsable en cas de perte de données dans l’État XY, et ce que recouvre cette responsabilité.
Il existe également des risques liés aux différences entre les législations, par exemple pour les lois sur les écoutes illégales ou les accès non détectés. Dans certains États, les autorités peuvent exiger des sauvegardes complètes, à tout moment et sans préavis. La liste des différences en termes de protection des données est quasiment sans fin. Beaucoup de prestataires de services informatiques internationaux décident donc délibérément de ne pas installer leurs centres de données dans certains pays. Dans le nuage privé de T-Systems, l’utilisateur peut déterminer lui-même le lieu de stockage de ses données.
Le nuage préfère l’Union européenne
Les prestataires dans l’Union européenne sont donc les plus idéalement situés pour exploiter le nuage dans un environnement commercial. Dans la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, l’Union européenne a introduit une norme minimale pour la protection et la sécurité des données. Par exemple, tout transfert de données à caractère personnel est soumis au consentement préalable de l’intéressé. Les données liées à une commande ne peuvent être traitées qu’au sein des frontières de l’Union européenne ou de l’Espace économique européen (EEE). Les administrations exigent généralement que le traitement de leurs données se fasse dans leur propre pays, et en font une condition nécessaire à l’attribution d’un contrat. Curieusement, les États-Unis n’ont pas encore de directives officielles concernant la protection des données. Seuls certains types spécifiques de traitement y sont interdits. Chaque citoyen a, par exemple, accès sans difficultés aux documents officiels.
Savoir où se trouvent les informations pose néanmoins encore un autre problème : certaines grandes sociétés veulent s’assurer que leurs données et applications sont stockées dans un centre de données avec sécurité intégrée, celui-ci étant également bien protégé contre toute catastrophe naturelle (séisme, ouragan, inondation...) de par sa situation géographique. C’est pour cette raison qu’une compagnie pétrolière internationale a explicitement choisi que ses services de cloud computing soient hébergés à Munich.
Transfert de données sécurisé
Le backbone de tout nuage repose sur des réseaux à haut débit stables, dans lesquels la sécurité des informations peut être assurée de deux façons. Le niveau le plus élevé de sécurité est fourni par des connexions point à point dédiées, qui vont du centre de données vers le client. Dans les réseaux MPLS, il est possible de mettre en place une ligne complètement isolée pour chacun des clients. La deuxième option prend la forme de connexions cryptées, soit via des liaisons de type tunnel au dessus du réseau public Internet (appelées réseaux privés virtuels ou VPN), soit via le protocole SSL (secure socket layer).
Cependant, quelle que soit la façon dont est effectivement implémentée la connexion réseau, il faut qu’elle soit dupliquée exactement comme pour de l’infogérance classique, c’est à dire avec deux lignes séparées physiquement. Si l’une des deux connexions tombe en panne, l’autre peut donc prendre la main de façon transparente. Il est également conseillé de maintenir des copies en miroir de toutes les informations dans deux centres de données différents. Ce n’est en aucun cas contradictoire avec la philosophie du cloud computing si, sur les deux sites, les serveurs sont partagés entre plusieurs sociétés.
Des pare-feux pour protéger les différents segments de réseau
Des pare-feux sont utilisés pour protéger les différents segments de réseau. Ils contrôlent les données relatives au trafic, et appliquent des règles pour déterminer quels paquets doivent être ou non routés à travers le réseau. Ceci offre une protection contre tout accès non autorisé. Ils génèrent également des tables d’état et de contexte pour toutes les connexions réseau. Cela leur permet de détecter des corrélations entre les paquets. C’est ce qu’on appelle le suivi de communication ou stateful inspection en anglais. Une fois une connexion établie, ils peuvent alors détecter si un système envoie des données non autorisées et bloquer immédiatement celles-ci. De très nombreux paquets du même type peuvent être la signature d’une attaque par déni de service (ou DoS : denial-of-service) destinée à paralyser le réseau. Les pare-feux constituent donc un mécanisme de détection crucial, qui contribue à maintenir la disponibilité des données et des applications. L’une des tâches dévolues aux équipes d’intervention rapide, appelées CERT (computer emergency response teams), est de s’assurer que le centre de données est à tout moment configuré correctement.
Les pare-feux avec inspection en profondeur vont un peu plus loin, puisqu’ils sont capables de détecter des attaques au niveau application. Ils bloquent les violations de protocole, les virus, les spams et autres contenus nuisibles comme les chevaux de Troie. Ils permettent également de lutter contre ce qu’on appelle les attaques de type « homme du milieu » (« man-in-the-middle » en anglais), dans lesquelles une personne extérieure intercepte les communications entre deux parties, et elle se fait passer pour l’une d’entre elles pour induire l’autre en erreur et l’amener à réaliser des actions non souhaitées. Les collaborateurs du prestataire du nuage lancent ce type d’attaques à intervalles réguliers pour tester l’efficacité des pare-feux.
Systèmes de surveillance et d’alerte précoce
Pour garantir que la sécurité fait partie intégrante de tous les processus de l’entreprise avec le cloud computing, les composants sensibles de ces derniers doivent être vérifiés en permanence, et mis à jour à chaque fois que c’est nécessaire. Dans les centres de données importants, des modules spéciaux s’exécutent automatiquement sur les serveurs, pour vérifier que les paramètres de sécurité spécifiés restent constants. Tous les pare-feux, antivirus et systèmes de détection d’intrusion (ou IDS : intrusion detection systems) font également l’objet d’une surveillance automatique permanente. Les systèmes d’alerte précoce utilisent des méthodes de data mining (exploration de données) pour rechercher les points faibles avant que ceux-ci ne se transforment en menaces. Les hackers passent souvent beaucoup de temps à parcourir les différents ordinateurs pour trouver la faille qui leur permettra d’entrer. Des systèmes d’analyse intelligente (informations de sécurité et gestion d’événements) utilisent entre autres les journaux (les fichiers log) pour y détecter les signatures d’attaques à long terme pour, en quelque sorte, tuer celles-ci dans l’œuf.
L’infrastructure informatique du centre de données peut également être surveillée automatiquement, pour s’assurer qu’elle reste conforme à certaines dispositions réglementaires, notamment la loi Sarbanes-Oxley (S-OX). Cette réglementation, qui concerne les marchés de capitaux, s’applique à toute société cotée en bourse aux États-Unis. Tous les ans, celles-ci doivent passer en revue et documenter leur Système de Contrôle Interne (ICS : Internal Control System) au regard des dispositions de la loi, et faire analyser leur ICS par des auditeurs externes. Au sein du système, les mots de passe doivent tous être d’une certaine longueur. Si ce n’est pas le cas, il existe un système au niveau du centre de données qui détecte automatiquement le problème. Les membres de l’équipe de prévention CERT peuvent alors prendre immédiatement les mesures nécessaires.
La tête dans les nuages
Quelle que soit l’ampleur de la sécurité qu’un prestataire important de cloud computing peut offrir, la sécurité reste encore toujours la préoccupation majeure de l’ensemble du personnel. Les sessions de formation et les ateliers réguliers permettent d’augmenter le niveau de sensibilisation générale vis-à-vis du traitement des solutions informatiques. C’est seulement en étant capable d’identifier les éventuels problèmes de sécurité qu’une personne peut les éviter en prenant les mesures adéquates. Les prestataires sont également des partenaires qui mettent en œuvre des programmes en interne et en externe pour améliorer le niveau général de protection et développer la meilleure politique de sécurité pour une entreprise donnée. Tout l’art du prestataire de cloud computing réside dans sa capacité à veiller à ce que les systèmes soient tous conçus de telle façon que toutes les fonctions de sécurité protègent les utilisateurs sans pour autant les gêner dans leur travail.
Accès mobile sécurisé au nuage
Si une entreprise accède, via un réseau IP, à tous ses services et données hébergés par un centre de données, ses collaborateurs peuvent utiliser tout type de terminal pour accéder à leur interface utilisateur personnelle, en tout lieu et à tout moment. Ils s’authentifient sur le serveur central du centre de données au moyen d’une clé USB qui contient une carte à puce intégrée. Ils peuvent ensuite utiliser le terminal de la même façon qu’un ordinateur portable classique, que ce soit dans leur hôtel, à l’aéroport, avec un contact commercial ou depuis un cybercafé. Quand l’utilisateur met la clé dans le port USB de n’importe quel ordinateur connecté à Internet, une connexion est automatiquement établie vers un récepteur du centre de données grâce au client intégré. Une fois dûment authentifié, l’utilisateur peut accéder à ses données et à ses applications. Une fois qu’il a repris sa clé USB, plus aucune trace de son passage ne subsiste sur l’ordinateur.
Les téléphones portables, les PDA et les smartphones sur lesquels sont installées les applications peuvent être cryptés avec le même niveau de fiabilité. Dans ce cas aussi, l’utilisateur doit commencer par s’authentifier au moyen d’une carte de chiffrement (crypto-card). S’il égare son terminal, il peut le signaler au personnel du centre de données, qui le réinitialisera alors à distance. Cela évite que les données tombent dans de mauvaises mains. L’entreprise, quant à elle, ne perd aucune information de valeur, dans la mesure où tout est parfaitement mirroré au niveau du centre de données. En fonctionnement normal, toutes les données sur le terminal seront automatiquement synchronisées à intervalle régulier avec les serveurs centraux.
Les politiques de sécurité mises en place par une entreprise peuvent ainsi être facilement implémentées au sein du nuage, y compris pour les utilisateurs mobiles, jusqu’au moindre détail : les fonctions de certains appareils (comme les caméras intégrées) peuvent être automatiquement désactivées dans certaines zones, par exemple. Dans l’industrie manufacturière, par exemple, cela permet d’éviter que des photos de nouveaux produits atterrissent accidentellement dans de mauvaises mains, voire sur Internet.
Il n’y a pas non plus de compromis sur la gestion de la qualité : les experts en sécurité du centre de données ont toute latitude pour tester les nouveaux correctifs qui sortent, avant de les appliquer sur les ordinateurs. Dans le cas où il n’existe encore aucun patch face à une faille de sécurité susceptible de constituer une menace grave pour les ordinateurs portables et équivalents (le problème du « jour zéro », c’est-à-dire le jour où apparaît la menace), il leur suffit d’appuyer sur un bouton pour bloquer immédiatement à distance l’accès concerné
Par :
Rene Reutter, Head of Seamless ICT Security Infrastructure and Management, CISSP,
et
Thorsten Zenker, Senior Fellow, ICT Operations, tous deux chez T-Systems.
Retrouvez un jeudi tous les quinze jours l'actualité du BPM sur :
www.bpm-channel.com
