palais descongrèsParis7, 8 et 9février 2012
Cloud & SécuritéQuels risques et quelles sont les questionsimportantes à se poser avant de migrer vers leCloud ?Code Sessi...
Sommaire  Le Cloud selon le NIST  6 questions pour décider ?  ENISA-Cloud Security Alliance  Les huit risques majeurs selo...
Le Cloud selon le NIST*Source : Visual Model of NIST Working Definition of Cloud   (*)National Institute of Standards and
Jeu : 6 questions pour décider? Quelles données seront stockées dans le Cloud ?1.2.   Incluront-elles des données personne...
Jeu : 6 questions pour décider? Quelles données seront stockées dans le Cloud ?1.2.   Incluront-elles des données personne...
Deux organisations deréférence  http://www.enisa.europa.eu/                                https://cloudsecurityalliance.o...
Deux documents                                                              https://cloudsecurityalliance.org/guidance/csa...
Les risques selon ENISA                                                                Focus sur les 8 risques considérés ...
Les 8 risques majeurs  Risques politiques et organisationnels      R.2 : PERTE DE GOUVERNANCE      R.3 : DEFIS LIES A LA C...
R.2 Perte de gouvernance Implémentatio     Mauvaise organisation de la sécurité chez le fournisseur n sécurité        Sépa...
La Cloud Controls Matrix CSA  Conformité      Gouvernanc      Sécurité des    Ressources                  e des           ...
La Cloud Controls Matrix CSA  Conformité       Gouvernanc               Sécurité des         Ressources                   ...
La Cloud Controls Matrix CSA  Conformité      Gouvernanc   Sécurité des         Ressources                  e des         ...
La Cloud Controls Matrix CSA  Conformité           Gouvernanc                 Sécurité des              Ressources        ...
La Cloud Controls Matrix CSA                                                  • Vérification des exigences contractuelles ...
Intérêt de la certification ISO27001 27001 : Référence pour la description des   ISO   Systèmes de Management de la sécuri...
En plus de la matrice CCM-CSA     Maturité client               Respect vie privée               Intégration existant     ...
Illustration : Office 365
Office 365 Enterprise Decision Framework
Connecting Framework toCertifications           INFORMATION SECURITY POLICY                                    PRIVACY AND...
What is Privacy ?  Privacy refers to the different laws and regulations applicable to  the protection of Personal Data.  P...
Why EU Safe Harbor ?  The European Union, through the EU Data Protection Directive, has stricter privacy rules than  the U...
Why EU Model Clauses ? CNIL: Loi du 6/1/78, MAJ le 6/8/2006 (Directive EU: 95/46/CE) Microsoft commits on Model Clauses («...
Standard RFI and ISO Mapping      •      •      •      Standard Response to Request for Information –      Security and pr...
Trust Center    Trust Center    Public website with FAQs. Microsofts way of enabling customers to make the best and most i...
Third PartiesListing of subcontractors
Contractual documents …  Privacy Statement: Office 365 Privacy and Security  Supplement :  http://www.microsoftvolumelicen...
Recommandations  Ne vous fiez pas à un questionnaire en 6 points ;-)  Evaluez le fournisseur en fonction des contrôles de ...
Références  Guide ENISA     http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-     assessment/at_d...
Références Office 365  Standard Response to Request for Information – Security  and privacy  http://go.microsoft.com/fwlin...
Microsoft France39, quai du président Roosevelt  92130 Issy-Les-Moulineaux www.microsoft.com/france
Prochain SlideShare
Chargement dans…5
×

Cloud & Sécurité : Quels risques et quelles sont les questions importantes à se poser avant de migrer vers le Cloud ?

1 542 vues

Publié le

La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 542
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
66
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • L’approche est bonne mais incomplète car orientée principalement sur les aspects conformité et contractuel; rien d’étonnant car l’article a été publié par un avocat !La question 6 est beaucoup trop générale.
  • ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
  • TODO :
  • droit d'accès minimal =least privilege
  • Side-channel = canaux cachés
  • droit d'accès minimal =least privilege
  • Conformité : audits planifiés et à intervalles réguliers effectués par des organismes indépendants pour vérifier le respect des certifications, exigences réglementairesGouvernance des données : classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité
  • The key questions most of our customers have when they embark on the journey to implement online cloud solutions are summarizes across each decision point.In addition we also have the identified the stakeholders which typically need to be involved in making the decision. Part of our meeting today is to understand who you specifically see as part of these decisions and to map names to each of these decisions.[Note to speaker: read through some of the key decision points and conversations]
  • The compliance strategy is based on a proactive continual compliance approach to minimize risk and secure the environment. The Risk Management pillars each feed into our compliance management program. This program is then backed up by independent third-party audits on a periodic basis to provide greater assurance to Microsoft customers.
  • Question fromBlackbelt: Does O365 have polies and procedures for handling secure disposal of data? As most people don’t know the answer of this off the top of their head where you would go to find the detailed information is the Standard RFI look up the control and if you still needed more information use the referenced ISO # to look up even more information.Second question – Why didn’t we put more detailed information into the RFI document? External Standards and the details around internal controls and the environment are constantly changing thus it is better to map to the standard where the minimums are defined as opposed to policies and baselines. Do not bring up background checks  
  • The Microsoft Online Services Trust Center is live as of 6/28 and provides in-depth information about our privacy and security practices related to Microsoft's Office 365 offerings. The purpose of the site is to disclose more detailed information about our commitment to privacy and data handling in simple terms that many of our customers have been asking for, especially in the cloud environment. We hope this information will help customers understand and assess our practices for handling and securing data on Microsoft Online Services.  Documentation includes: how customer data will be used, who has access to the data, where people with access are located and how customers can be notified of changes to our program.
  • Cloud & Sécurité : Quels risques et quelles sont les questions importantes à se poser avant de migrer vers le Cloud ?

    1. 1. palais descongrèsParis7, 8 et 9février 2012
    2. 2. Cloud & SécuritéQuels risques et quelles sont les questionsimportantes à se poser avant de migrer vers leCloud ?Code Session : SEC2202Jean-Yves GRASSET Christophe VALLEEArchitecte Technique et BOS Solution ArchitectSécurité Office 365 CustomerDirection Technique et ExperienceSécurité Microsoft CorporationMicrosoft France
    3. 3. Sommaire Le Cloud selon le NIST 6 questions pour décider ? ENISA-Cloud Security Alliance Les huit risques majeurs selon l’ENISA La Cloud Controls Matrix de la Cloud Security Alliance Intérêt de la certification ISO 27001 En plus de la matrice CCM-CSA Une illustration : Office 365 Recommandations
    4. 4. Le Cloud selon le NIST*Source : Visual Model of NIST Working Definition of Cloud (*)National Institute of Standards and
    5. 5. Jeu : 6 questions pour décider? Quelles données seront stockées dans le Cloud ?1.2. Incluront-elles des données personnelles non-chiffréesClassificatio ? n3. Où seront stockées ces données, et le client aura-t-il un contrôle sur l’endroit de stockage ? Protection des Respect des données relatives4. Qui sera autorisé à accéder aux données, et de quels à la vie privée droits d’accès contraintes disposera le fournisseur de service sur les données (ou les méta- réglementaires données relatives aux données stockées) ?5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à faire au regard de l’accès aux données, leur conservation, protection et sécurité ? http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know- 492577/
    6. 6. Jeu : 6 questions pour décider? Quelles données seront stockées dans le Cloud ?1.2. Incluront-elles des données personnelles non-chiffrées ?d’accès, Contrôle délégation, définition3. Où seront stockées ces données, et le client aura-t-ildroits des un contrôle sur l’endroit de stockage ?4. Qui sera autorisé à accéder aux données, et de quels droits d’accès disposera le fournisseur de service sur les données (ou les méta- Engagements contractuels sur Réversibilité données relatives aux données stockées) ? des données la protection5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à faire au regard de l’accès aux données, leur conservation, protection et sécurité ? is an attorney whose practice focuses exclusively on information technology-related Milton L. Petersen transactions and issues http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know- 492577/
    7. 7. Deux organisations deréférence http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
    8. 8. Deux documents https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf incontournableshttp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
    9. 9. Les risques selon ENISA Focus sur les 8 risques considérés comme les plus critiques selon la matrice Méthode de classification des risques ISO/IEC 27005:2008Source : Cloud Computing, Benefits risks and recommendations for information security(ENISA)
    10. 10. Les 8 risques majeurs Risques politiques et organisationnels R.2 : PERTE DE GOUVERNANCE R.3 : DEFIS LIES A LA CONFORMITE Risques Techniques R.9 : DEFAUT D’ISOLATION R.10 : UTILISATION MALICIEUSE INTERNE AU FOURNISSEUR R.11 : COMPROMISSION DE L’INTERFACE DE GESTION Risques :Légaux R.14 INEFFICACITE DE LA SUPPRESSION DES DONNEES R.22 : RISQUES LIES AUX CHANGEMENTS DE JURIDICTIONS R.23 : RISQUES LIES A LA PROTECTION DES DONNEES Risques non-spécifiques au Cloud R.26 : ADMINISTRATION RESEAU
    11. 11. R.2 Perte de gouvernance Implémentatio Mauvaise organisation de la sécurité chez le fournisseur n sécurité Séparation des fonctions et droit daccès minimal Verrouillage fournisseur par adhérences non connues Réversibilité Verrouillage fournisseur par technologies non standards Protection contre cessation d’activité du fournisseurPerte de Impossibilité de mener des tests de vulnérabilité CloudcontrôleMaturité client Rôle et responsabilités clientContrat Conflit de clauses de SLA
    12. 12. La Cloud Controls Matrix CSA Conformité Gouvernanc Sécurité des Ressources e des installations humaines données Sécurité de Juridique Gestion des Gestion du l’information opérations risque Gestion du Continuité Architecture changement de l’activité de sécurité
    13. 13. La Cloud Controls Matrix CSA Conformité Gouvernanc Sécurité des Ressources e des installations humaines données • Propriété, classification • Manipulation-étiquetage • Audits par des organismes • Politique de conservation, indépendants du fournisseur mise au rebut Cloud • Fuite d’information • Audit des fournisseurs tiers • Evaluation des risques liés à la • Contrôle d’accès aux • Respect des exigences légales gouvernance bâtiments et actifs physiques • Sélection des personnels et réglementaires • Protection périmétrique • Vérification des antécédents • Autorisation de transfert hors- • Responsabilité sécurité dans locaux contrat de travail • Inventaire des actifs fin de contrat • Procédures de
    14. 14. La Cloud Controls Matrix CSA Conformité Gouvernanc Sécurité des Ressources e des • Accords de confidentialité installations humaines • d’un Système de Management données • Mise en œuvreAccords conclus avec des tiers de la Sécurité de l’Information (SMSI) • Implication du management • Politique de sécurité et réexamen régulier Sécurité de • Gestion et vérification des accès utilisateurs Juridique • Séparation des fonctions l’information • Chiffrement des informations sensibles et protection des clés • Gestion des vulnérabilités et des correctifs • Gestion des incidents • Sécurité des services réseau • Restriction d’accès aux utilitaires
    15. 15. La Cloud Controls Matrix CSA Conformité Gouvernanc Sécurité des Ressources e des installations humaines données Sécurité de Juridique Gestion des Gestion du l’information opérations risque • Elaboration et maintien d’un cadre de gestion du risque • Evaluations des risques à intervalles réguliers • Définition des politiques et procédures • Processus d’atténuation/acceptation • Documentations • Prise en compte des résultats dans les politiques, • Planification du dimensionnement des procédures, normes et contrôles ressources • Gestion de l’accès des tiers • Maintenance du matériel
    16. 16. La Cloud Controls Matrix CSA • Vérification des exigences contractuelles et réglementaires Conformité • Sécurité des continuité d’activité GouvernancProgramme de gestion de lal’accès au service, authentification • Sécurité de Ressources e des installations utilisateur humaines • Définition du PCA et tests à intervalles réguliers • Garantie d’intégrité des données données • Protection contre les menaces extérieures et • Sécurité dans le développement des applications environnementales • Séparation des environnements • Redondance électrique et communication production/hors-production • Développement, acquisition (logiciels, • Segmentation Gestion du Sécurité de Juridique infrastructures…) Gestion des l’information • Journalisation risque opérations des des accès • Documentation, test et • Sécurité des réseaux partagés approbation changements • Test de qualité • Restriction d’installation des logiciels non autorisés Gestion du Continuité Architecture changement de l’activité de sécurité
    17. 17. Intérêt de la certification ISO27001 27001 : Référence pour la description des ISO Systèmes de Management de la sécurité des Systèmes d’Information (SMSI) Associé à ISO 27002 : description des bonnes pratiques Importance du périmètre Datacenter + service Couverture de la matrice de contrôles CSA
    18. 18. En plus de la matrice CCM-CSA Maturité client Respect vie privée Intégration existant • Détermination des données • Classification des privées • Support de la fédération données • Respect des contraintes d’identité (standards) • Choix du modèle de réglementaires par le • Synchronisation des déploiement fournisseur identités • Mise en correspondance • Transfert entre juridictions • Support multi-fournisseurs des politiques de sécurité • Formation équipe client Réversibilité Aspects au Cloud (y compris contractuels • Service Level Agreement juristes) • Conditions de sortie • Récupération des données • Programme de gestion de risque et de • Pénalités (indisponibilité, • Suppression des conformité fuite d’information) adhérences • Gestion des identités et • Réponse aux assignations • Coût des droits d’accès
    19. 19. Illustration : Office 365
    20. 20. Office 365 Enterprise Decision Framework
    21. 21. Connecting Framework toCertifications INFORMATION SECURITY POLICY PRIVACY AND SERVICE SECURITY REGULATORY CONTINUITY COMPLIANCE MANAGEMENT Continual Audits and improvement of certifications against framework framework Office 365 Certifications: ISO27001 SAS70 Type II / SSAE16 SOC 1 type I EU Safe Harbor Framework FISMA EU Model Clauses
    22. 22. What is Privacy ? Privacy refers to the different laws and regulations applicable to the protection of Personal Data. Personal data shall mean any information relating to an identified or identifiable natural person; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity (source: EU Directive 95/46/EC)
    23. 23. Why EU Safe Harbor ? The European Union, through the EU Data Protection Directive, has stricter privacy rules than the U.S. and most other countries. To enforce these rules, the EU generally prohibits personal data from crossing borders into other countries except under circumstances in which the transfer has been legitimated by a recognized mechanism, such as the "Safe Harbor" certification described below. To allow for the continual flow of information required by international business, the European Commission reached agreement with the U.S. Department of Commerce, whereby U.S. organizations can self-certify as complying with the Safe Harbor principles, which track loosely to the requirements of the Directive. For a business to legally transfer data from the EU to the U.S., the U.S. company or other organization must publicly certify that it will comply with Safe Harbor principles, which align to the EUs privacy rules. Microsoft Online Services can transfer data from the EU to the U.S. for processing because Microsoft is Safe Harbor certified. Customers are encouraged to review the principles of the certification though the following link, along with Microsofts certification on the Department of Commerce website: Safe Harbor Framework and Certification.
    24. 24. Why EU Model Clauses ? CNIL: Loi du 6/1/78, MAJ le 6/8/2006 (Directive EU: 95/46/CE) Microsoft commits on Model Clauses (« clauses contractuelles types » en Français) qui fournit un niveau adéquat de protection des données personnelles. For more information, CNIL provides many details about the Model Clauses on its website (extract below) : http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CNIL-transferts-CCT.pdf
    25. 25. Standard RFI and ISO Mapping • • • Standard Response to Request for Information – Security and privacy
    26. 26. Trust Center Trust Center Public website with FAQs. Microsofts way of enabling customers to make the best and most informed decisions by providing the transparency they require. Data Use Limits Regulatory Compliance –List of activities in which we access –Clarification on Microsoft policy on customer data compliance –Assurance data is not used for other –FAQ on major compliance commercial purposes such as requirements advertising Tools to Understand Privacy and Administrative Access Security –Explanation of types of data we track –Explanation on how to get notified of access security programs –How customer can attain the access logs –Handling of account management and billing information Geographic Boundaries –Link to Security and Privacy Supplement –Disclosure of customer data locations based on “ship to” address *Third Parties –Listing of subcontractors Security, Audits and Certifications used –Links to third party audits and certifications for Office 365 and Microsoft datacenter
    27. 27. Third PartiesListing of subcontractors
    28. 28. Contractual documents … Privacy Statement: Office 365 Privacy and Security Supplement : http://www.microsoftvolumelicensing.com/DocumentSearc h.aspx?Mode=3&DocumentTypeId=31 Specific clause like : Online Services expiration or termination or suspension / Online Service Updates / Customer Data / Privacy … Services Level Agreement : http://www.microsoftvolumelicensing.com/DocumentSearc h.aspx?Mode=3&DocumentTypeId=37
    29. 29. Recommandations Ne vous fiez pas à un questionnaire en 6 points ;-) Evaluez le fournisseur en fonction des contrôles de la matrice de la Cloud Security Alliance Voir exemple Office 365 ISO 27001 constitue une première garantie sur une prise en compte sérieuse de la sécurité par le fournisseur D’autres sujets sont à traiter comme la maturité du client pour être « Cloud ready » Assister à la session « Cloud & Sécurité : une approche pragmatique pour les RSSI (SEC2203) » ;-)
    30. 30. Références Guide ENISA http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment/at_download/fullReport Guide CSA https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf Cloud Controls Matrix CSA https://cloudsecurityalliance.org/ Data Governance - Moving to Cloud Computing (Microsoft White Paper/ Trustworthy Computing)  http://www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&i d=6098 Livre « Securing the Cloud » de Vic Winkler chez Syngress
    31. 31. Références Office 365 Standard Response to Request for Information – Security and privacy http://go.microsoft.com/fwlink/?LinkId=213081&clcid=0x40 9 http://www.microsoft.com/online/legal/v2/?docid=21&langi d=en-us
    32. 32. Microsoft France39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france

    ×