CSAM: une offre Microsoft
Consulting pour l'analyse des risques
du Cloud
Yann DUCHENNE
Mohammed BAKKALI
Microsoft France

...
Objectifs
Adopter ensemble un langage commun sur la sécurité du Cloud
Poser de manière pragmatique les risques et challeng...
AGENDA
Le Cloud et les
nouveaux enjeux
autour de la
sécurité

#mstechdays

La nécessité
d’évaluer les
risques

Sécurité

L...
LE CLOUD ET LES NOUVEAUX
ENJEUX AUTOUR DE LA SÉCURITÉ

#mstechdays

Sécurité
Les différentes formes de Cloud
Computing
3 modèles de service
– Infrastructure as a Service (IaaS)
– Aller dans le Cloud
...
Projet Cloud:
interrogations majeures?
A Alignement de ma stratégie avec celle de mon prestataire
B Définition du besoin, ...
Préoccupations majeures à l’adoption du
Cloud
48%

42%
34%
29%
26%
24%
% de réponses (3 choix permis /…
Source : Gartner -...
La sécurité dans le Cloud
Résulte de la combinaison de:
• Processus
– Gestion des risques, des mises à jour, des configura...
Ou se situe le périmètre de responsabilité?
PaaS

SaaS

Classification des données

Classification des données

Classifica...
Le Cloud Service Provider est votre
partenaire
• Les risques que le client doit gérer:
– Classification des données
– Prot...
Pourquoi classifier les données?
1. Plan
Identify data assets

Permet aux organisations de catégoriser les
données stockée...
Des solutions pour les données sensibles
Une classification efficace nécessite une
très bonne compréhension des besoins de...
L’importance de classifier les données
• Un document de référence poublié par TWC
http://download.microsoft.com/download/0...
Recommandations de la CNIL
Cloud computing : les 7 étapes clés pour garantir la
confidentialité des données
Document publi...
LES ORGANISATIONS ET NORMES
TRAITANT DE LA SÉCURITÉ DU
CLOUD
#mstechdays

Sécurité
2 organisations de référence
•

CSA
–

–

•

organisation pilotée par ses membres, chargée de
promouvoir l’utilisation de ...
2 documents de références

1

2

https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf

#mstechdays

Sécurité

http...
De nombreuses normes
• Internationales
–
–
–
–
–

ISO/IEC 27005 et 31000
U.S. National Institute of Standards and Technolo...
ISO 27005
• La norme ISO 27005:2008 décrit le processus de
gestion des risques en sécurité de l’information
• Précise et e...
Amélioration continue de la maitrise des
risques
•Définition des objectifs
•Appréciation du risque
•Construction du plan
d...
Qu’est-ce qu’un risque?
• « la combinaison de la probabilité d’un dommage
et de sa gravité »
(ISO/CEI 51 1999)
• « possibi...
Qu’est-ce qu’un risques pour le Cloud?

Exposition

Impact
Dégâts catastrophiques
probables pour l'entreprise

Elevé

Pert...
UNE PROPOSITION DE DÉMARCHE

#mstechdays

Sécurité
Démarche fondée sur le travail de la CSA
– Critères de choix du fournisseur de Cloud
– https://cloudsecurityalliance.org/r...
#mstechdays

Sécurité
Principes de la démarche
– Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security
Alliance (CSA)

– E...
• Compléter un tableau « Enterprise Tolerance Analysis »

#mstechdays

Sécurité
• Compléter les questionnaires des domaines 1 à 15

#mstechdays

Sécurité
• Mettre en évidence les risques a traiter

#mstechdays

Sécurité
• Mettre en évidence les risques à traiter
Tolérance au
risque

Exposition au
risque

#mstechdays

Sécurité
• Identifier les éléments « fautifs »

#mstechdays

Sécurité
• Adopter une stratégie de traitement du risque
Réduction du risque

Transfert du risque

Détermination de contre-mesures ...
• Identifier les risques résiduels

#mstechdays

Sécurité
CSAM, UNE PROPOSITION
D’ACCOMPAGNEMENT MCS

#mstechdays

Sécurité
Offre de Services CSAM
Cloud
Microsoft

Le périmètre éligible est l’un des services de Cloud Microsoft
(Office 365, Azure,...
En guise de synthèse
• Le Cloud Computing ne concerne pas exclusivement les services
hébergés par des sociétés tierces
• D...
#mstechdays

Sécurité
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!...
Digital is
business
Vos interlocuteurs MCS sur l’offre CSAM
Mohammed Bakkali
Mohammed.Bakkali@Microsoft.com
Yann Duchenne
Yann.Duchenne@Micros...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud
Prochain SlideShare
Chargement dans…5
×

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

1 172 vues

Publié le

Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.

Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 172
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
49
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • http://blogs.technet.com/b/security/archive/2014/01/28/the-importance-of-data-classification.aspxhttp://download.microsoft.com/download/0/9/2/092C54E6-1F36-4698-911B-4AE1D0347897/CISO-Perspectives-Data-Classification.pdf
  • http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf
  • ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
  • http://fr.wikipedia.org/wiki/ISO/CEI_27005
  • Cette notion de processus itératif diffère des normes Ebios et Mehari qui traite des risques au coup par coup
  • Qui sont les bons interlocuteurs ?
  • Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

    1. 1. CSAM: une offre Microsoft Consulting pour l'analyse des risques du Cloud Yann DUCHENNE Mohammed BAKKALI Microsoft France Yann.duchenne@microsoft.com Mohammed.Bakkali@microsoft.com Sécurité
    2. 2. Objectifs Adopter ensemble un langage commun sur la sécurité du Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre organisation Proposer une démarche d’analyse de risques pragmatique et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios #mstechdays Sécurité
    3. 3. AGENDA Le Cloud et les nouveaux enjeux autour de la sécurité #mstechdays La nécessité d’évaluer les risques Sécurité Les normes et la démarche CSAM, une offre d’accompagneme nt MCS
    4. 4. LE CLOUD ET LES NOUVEAUX ENJEUX AUTOUR DE LA SÉCURITÉ #mstechdays Sécurité
    5. 5. Les différentes formes de Cloud Computing 3 modèles de service – Infrastructure as a Service (IaaS) – Aller dans le Cloud – Platform as a Service (PaaS) – Construire le Cloud – Software as a Service (SaaS) – Consommer le Cloud #mstechdays Sécurité
    6. 6. Projet Cloud: interrogations majeures? A Alignement de ma stratégie avec celle de mon prestataire B Définition du besoin, du service et du prix C Intégration du Cloud dans le SI de mon entreprise D Protection et sécurité des données dans le Cloud E Licences et droits de propriété intellectuelle F Entrée et sortie du Cloud: Migration - Réversibilité #mstechdays Sécurité
    7. 7. Préoccupations majeures à l’adoption du Cloud 48% 42% 34% 29% 26% 24% % de réponses (3 choix permis /… Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants #mstechdays Sécurité
    8. 8. La sécurité dans le Cloud Résulte de la combinaison de: • Processus – Gestion des risques, des mises à jour, des configurations, etc • Personnes – Employés, sous-traitant, admins, développeurs, utilisateurs • Technologie – Pas seulement des technologies de sécurité #mstechdays Sécurité
    9. 9. Ou se situe le périmètre de responsabilité? PaaS SaaS Classification des données Classification des données Classification des données Protection des terminaux Protection des terminaux Protection des terminaux Identité / gestion des accès Identité / gestion des accès Identité / gestion des accès Application Application Application Réseaux Réseaux Réseaux Serveurs Serveurs Serveurs Niveau de confiance dans le fournisseur Cloud IaaS Géré par le client Sécurité physique Sécurité physique Délégation, perte contrôle #mstechdays Sécurité Sécurité physique Géré par le fournisseur Cloud
    10. 10. Le Cloud Service Provider est votre partenaire • Les risques que le client doit gérer: – Classification des données – Protection des terminaux • Les risques partagés – Gestion des identités et contrôle des accès • Les risques que le CSP peut vous aider à atténuer – Physiques – Liés aux réseaux #mstechdays Sécurité
    11. 11. Pourquoi classifier les données? 1. Plan Identify data assets Permet aux organisations de catégoriser les données stockées par sensibilité et impact Identity data custodian 2. Do 4. Act Deploy classification program Reclassify data La classification est utilisée depuis des décennies dans certaines organisations (Microsoft, Gouvernements, Défense, etc) 3. Check Review classification report/log #mstechdays Aide à optimiser la gestion des données pour l’adoption du Cloud Sécurité
    12. 12. Des solutions pour les données sensibles Une classification efficace nécessite une très bonne compréhension des besoins de l’organisation Une donnée classifiée comme confidentielle doit rester confidentielle au cours de son stockage, de son traitement et de son transfert Sensibilité Terminologie Model 1 Terminologie Model 2 Forte Confidentiel Restreintes Moyenne A usage interne uniquement Sensible Faible Publiques Non-restreintes #mstechdays Sécurité
    13. 13. L’importance de classifier les données • Un document de référence poublié par TWC http://download.microsoft.com/download/0/9/2/092C54E6-1F364698-911B-4AE1D0347897/CISO-Perspectives-DataClassification.pdf • Une session des techdays dédiée au sujet « Classifier vos données pour envisager sereinement le Cloud et le BYOD ! » http://www.microsoft.com/france/mstechdays/programmes/2014/fich e-session.aspx?ID=1d1241c2-fa0c-412a-82d91443597ec6b8#TQV3aF0rZkRYPHRo.99 #mstechdays Sécurité
    14. 14. Recommandations de la CNIL Cloud computing : les 7 étapes clés pour garantir la confidentialité des données Document publié le 1er juillet 2013  Recommandation n 1: Identifier clairement les données et les traitements qui passeront dans le Cloud  Recommandation n 2: Définir ses propres exigences de sécurité technique et juridique  Recommandation n 3: Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise  Et 4 autres recommandations #mstechdays Sécurité
    15. 15. LES ORGANISATIONS ET NORMES TRAITANT DE LA SÉCURITÉ DU CLOUD #mstechdays Sécurité
    16. 16. 2 organisations de référence • CSA – – • organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud https://cloudsecurityalliance.org/ ENISA – – #mstechdays centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information http://www.enisa.europa.eu/ Sécurité
    17. 17. 2 documents de références 1 2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf #mstechdays Sécurité http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport
    18. 18. De nombreuses normes • Internationales – – – – – ISO/IEC 27005 et 31000 U.S. National Institute of Standards and Technology (NIST) Information Systems Audit and Control Association (ISACA) Information Security Forum (ISF) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) • Et françaises – Ebios – Mehari – Marion (CLUSIF) #mstechdays Sécurité
    19. 19. ISO 27005 • La norme ISO 27005:2008 décrit le processus de gestion des risques en sécurité de l’information • Précise et explicite le contenu de l’ISO 27001 • Décrit un processus itératif qui autorise une démarche en 2 phases: – Première appréciation du risque de haut niveau – Appréciation détaillée du risque dans un second temps #mstechdays Sécurité
    20. 20. Amélioration continue de la maitrise des risques •Définition des objectifs •Appréciation du risque •Construction du plan d’actions •Prise de décisions •Mise en œuvre du plan d’action Plan Do Act Check •Amélioration continue du processus #mstechdays •Contrôle et révision continue des risques Sécurité
    21. 21. Qu’est-ce qu’un risque? • « la combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51 1999) • « possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation » (ISO 27005:2008 (F) 3.2) #mstechdays Sécurité
    22. 22. Qu’est-ce qu’un risques pour le Cloud? Exposition Impact Dégâts catastrophiques probables pour l'entreprise Elevé Perte nette probable pour l'entreprise Aucune réalisation probable des objectifs opérationnels Moyen Réalisation partielle probable des objectifs opérationnels Faible Pleine réalisation probable des objectifs opérationnels L’exposition est évaluée par son effet sur le métier Probabilité Faible #mstechdays Moyen Sécurité Elevé
    23. 23. UNE PROPOSITION DE DÉMARCHE #mstechdays Sécurité
    24. 24. Démarche fondée sur le travail de la CSA – Critères de choix du fournisseur de Cloud – https://cloudsecurityalliance.org/research/ccm/ – Versus NIST (US) et ENISA (Europe) #mstechdays Sécurité
    25. 25. #mstechdays Sécurité
    26. 26. Principes de la démarche – Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security Alliance (CSA) – Evaluation focalisée sur la solution Cloud cible sur les 15 domaines de la Cloud Security Alliance (CSA) – Mise en évidence des risques acceptables et des risques à atténuer par comparaison entre la tolérance et l’exposition au risque de la solution – Elaboration des contre-mesures sur les risques à atténuer – Evaluation des risques résiduels après atténuation #mstechdays Sécurité
    27. 27. • Compléter un tableau « Enterprise Tolerance Analysis » #mstechdays Sécurité
    28. 28. • Compléter les questionnaires des domaines 1 à 15 #mstechdays Sécurité
    29. 29. • Mettre en évidence les risques a traiter #mstechdays Sécurité
    30. 30. • Mettre en évidence les risques à traiter Tolérance au risque Exposition au risque #mstechdays Sécurité
    31. 31. • Identifier les éléments « fautifs » #mstechdays Sécurité
    32. 32. • Adopter une stratégie de traitement du risque Réduction du risque Transfert du risque Détermination de contre-mesures par exemple : choix du fournisseur, ajout de contrôles, modification d’architecture, organisation, hébergement multifournisseurs (disponibilité) Transfert du risque vers le fournisseur Evitement du risque Acceptation du risque Choix de ne pas déployer le service dans le Cloud pour le scénario envisagé Décision de tolérer le risque pour l’hébergement de la solution considérée dans le Cloud Contrat de niveau de service (Service Level Agreement), pénalités Assurance Choix d’un modèle de déploiement (ex Cloud privé/hybride) #mstechdays Sécurité 4 stratégies possibles
    33. 33. • Identifier les risques résiduels #mstechdays Sécurité
    34. 34. CSAM, UNE PROPOSITION D’ACCOMPAGNEMENT MCS #mstechdays Sécurité
    35. 35. Offre de Services CSAM Cloud Microsoft Le périmètre éligible est l’un des services de Cloud Microsoft (Office 365, Azure, CRM online, Yammer, .etc.) 5 JH L’offre de service CSAM s’appuie sur un questionnaire couvrant 15 domaines. La prestation est conçue sur la base d’une charge de 5 jours. Les livrables comprennent le support de restitution ainsi qu’un document de synthèse décrivant le niveau d’exposition aux risques. #mstechdays Sécurité
    36. 36. En guise de synthèse • Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces • Des organismes reconnus (NIST, CSA, ENISA, etc.) ont déjà beaucoup travaillé sur le sujet Cloud et Sécurité – Capitalisez sur leurs ressources ainsi mises à disposition ! • Des approches d’analyse de risque spécifiques au Cloud comme celle proposée ici peuvent vous aider à adopter plus sereinement le Cloud ! • Microsoft Consulting peut vous accompagner dans cette démarche au travers de l’offre CSAM (Cloud Security Assessment Matrix) #mstechdays Sécurité
    37. 37. #mstechdays Sécurité
    38. 38. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
    39. 39. Digital is business
    40. 40. Vos interlocuteurs MCS sur l’offre CSAM Mohammed Bakkali Mohammed.Bakkali@Microsoft.com Yann Duchenne Yann.Duchenne@Microsoft.com #mstechdays Sécurité

    ×