Securité et gouvernance da

1 323 vues

Publié le

  • Soyez le premier à commenter

Securité et gouvernance da

  1. 1. Gouvernance et sécurité dans le Cloud Computing : avantages et défis Yves LE ROUXCISSP CISMPrincipal ConsultantYves.leroux@ca.com<br />
  2. 2. Modèles de service<br />2<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />IaaS<br />
  3. 3. Modèle du National Institute of Standards and Technology<br />Hybrid Clouds<br />Modèles de <br />déploiement<br />Community<br />Cloud<br />Public Cloud<br />Private Cloud<br />Modèle de <br />service<br />Software as a Service (SaaS)<br />Platform as a Service (PaaS)<br />Infrastructure as a Service (IaaS)<br />Caractéristiques<br />essentielles<br />On Demand Self-Service<br />Broad Network Access<br />Rapid Elasticity<br />Resource Pooling<br />Measured Service<br />Massive Scale<br />Resilient Computing<br />Homogeneity<br />Geographic Distribution<br />Caractéristiques<br />communes<br />Virtualization<br />Service Orientation<br />3<br />3<br />Low Cost Software<br />Advanced Security<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  4. 4. Qui contrôle quoi ?<br />4<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  5. 5. Domaines critiques à étudier pour la gouvernance<br />Choc culturel - Résistance au changement<br />Gestion des risques de l’entreprise<br />Problèmes légaux<br />Fuites de données<br />Accès aux données par les organismes gouvernementaux<br />Protection de la vie privée<br />Mise en conformité et audit<br />Gestion du cycle de vie de l’information<br />Création, identification, stockage, utilisation, partage, archivage et destruction<br />Définition des responsabilités <br />Portabilité et interopérabilité<br />5<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  6. 6. Domaines critiques à étudier pour la sécurité<br />Plan de continuité et de reprise d’activités<br />Opérations du ou des centre(s) informatique(s)<br />Réponse, notifications et traitement des incidents<br />Sécurité des applications<br />Chiffrement et gestion des clés<br />Identités et contrôle d’accès<br />Technologie de virtualisation<br />6<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  7. 7. Les avantages du Cloud Computing du point de vue sécurité & gouvernance (1/2)<br />Possibilité de mettre les données publiques dans un Cloud et de mieux protéger les données sensibles<br />Fragmentation et dispersion des données<br />Equipe de sécurité dédiée<br />Plus grand investissement dans l’infrastructure de sécurité<br />Tolérance aux fautes et fiabilité améliorées<br />Meilleure réaction aux attaques<br />Protection des hyperviseurscontre les attaques réseaux<br />7<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  8. 8. Les avantages du Cloud Computing du point de vue sécurité & gouvernance (2/2)<br />Réduction possible des activités de mise en conformité et d’audit<br />Statement on Auditing Standards No. 70: Service Organizations<br />Automated Audit, Assertion, Assessment, and Assurance API (A6)<br />Données détenues par un tiers impartial<br />Solutions de stockage et de récupération de données à moindre coût<br />Contrôles de sécurité à la demande<br />Détection en temps réel des falsifications du système (System Tampering)<br />Reconstitution rapide des services<br />Possibilité accrue de créer des réseaux leurres (honeynet)<br />La capture d’une machine virtuelle ne compromet pas l’hôte<br />8<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  9. 9. Les défis du Cloud Computing du point de vue sécurité & gouvernance (1/4)<br />Confiance dans le modèle de sécurité du fournisseur souvent opaque<br />Réponse par le client aux recommandations des audits<br />Aide aux enquêtes après incidents<br />Responsabilité des administrateurs appartenant au fournisseur<br />Perte du contrôle physique<br />Gestion de l’isolement des machines virtuelles<br />Présence de multi-location (multi-tenancy)<br />Gestion des versions de logiciels<br />9<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  10. 10. Les défis du Cloud Computing du point de vue sécurité & gouvernance (2/4)<br />Protection des données personnelles<br />Traitement dans l’E.E.E. ou la Suisse, le Canada, l’Argentine, Guernesey, Jersey, Man et le Safe Harbour (US)<br />Règles internes d’entreprise /CorporateBindingrule<br />Clauses contractuelles types (5 février 2010)<br />Autorisation de transfert<br />Droit d’accès des organismes gouvernementaux<br />PatriotAct, Regulation of Investigatory Powers Act, LOPPSI, etc.<br />Conservation légale des documents et leur production<br />Garantie de la qualité de service<br />10<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  11. 11. Les défis du Cloud Computing du point de vue sécurité & gouvernance (3/4)<br />Attirance des hackers (www.zone-h.org)<br />Possibilité d’une panne massive<br />Intégration avec l’informatique interne<br />Besoins de chiffrement<br />Problèmes légaux (import, export, utilisation)<br />Accès chiffré à l’interface de contrôle du Cloud<br />Accès chiffré aux applications<br />Chiffrement des données stockées<br />Permanence / rémanence des données<br />Agrégation et inférence des données<br />11<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  12. 12. Les défis du Cloud Computing du point de vue sécurité & gouvernance (4/4)<br />Sécurisation des OS virtuels dans le Cloud<br />Dépendance de la sécurité des hyperviseurs<br />Gestion des identités dans le Cloud<br />Provisioning / déprovisioning<br />Authentification<br />Fédération<br />Gestion des profils utilisateurs et des autorisations d’accès<br />12<br />Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX <br />
  13. 13. Gouvernance et Sécurité dans le Cloud Computing : avantages et défis Yves LE ROUX CISSP CISMPrincipal ConsultantYves.leroux@ca.com<br />

×