La sécurité et le Cloud Computing

4 348 vues

Publié le

Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.

Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.

La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.

La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.

Publié dans : Technologie
0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 348
Sur SlideShare
0
Issues des intégrations
0
Intégrations
27
Actions
Partages
0
Téléchargements
457
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité et le Cloud Computing

  1. 1. La sécurité dansle Cloud v.8Octobre 2011Présenté au CQSI 2011 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika
  2. 2. Contenu de la conférence 1. Concept du Cloud Computing 2. Risques : menaces, vulnérabilités, mesures de contrôle, impacts 3. Intégrer le Cloud Computing dans votre gestion de la sécurité La mention des produits, des services ou des compagnies dans ce document ne doit pas être interprétée comme étant une recommandation ou une promotion.La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 2
  3. 3. Qui suis-je ?  Spécialiste en sécurité de l’information  Tactika inc.  Architecture de sécurité, audit et conseil normes ISO2700X, Gestion des risques  Clientèle : Gouvernemental et paragouvernemental, grande entreprise et PME  Une trentaine d’années d’expérience  Télécommunication, réseaux locaux et étendues, Conception et prestation de cours, Administration de système Unix, Webmestre, Architecture technologique  Certifications : CISSP, CISA et autres lettres de l’alphabet  Intérêt et utilisation du Cloud depuis 2008La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 3
  4. 4. Le Cloud est-il incontournable ? Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . Les TI seront profondément transformées dans les années à venir … à vrai dire c’est déjà commencé !La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 4
  5. 5. Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multi-locataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commoditéLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 5
  6. 6. Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation IndividuLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 6
  7. 7. Différence entre le Cloud etl’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multi-locataire Même entente de service /SLA pour tousLa sécurité dans le Cloud 7Clément Gagnon Tactika inc.
  8. 8. Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.htmlLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 8
  9. 9. Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement , délestage rapide  Élasticité, extensibilité ► Gestion simplifiée de la capacitéLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 9
  10. 10. Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X, Ex. CRM (software), Espace disque Ex. Sharepoint anti-virus (service) Abstraction Objet du client Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaSLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 10
  11. 11. Les acteurs dans le modèle de prestation de services Client / opérateur Client / utilisateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS OpérateurLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 11
  12. 12. Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com OpérateurLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 12
  13. 13. Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communautéLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 13
  14. 14. Un cas … Software (Application) Vous.com DNS Plate-forme Vous.com Infrastructure clement.gagnon@tactika.com Vous.com Web SaaS BD & SAN Surveillance De la disponibilité Votre client Software Ex. Amazon Web Services Ex. easyDNS (Application) Plate-forme Software Ex. iWeb Service (Application) Software Analyse Infrastructure Software de paiement (Application) (Application) d’affluence Plate-forme SaaS Vous.com Plate-forme Plate-forme Courriel Infrastructure Infrastructure SMTP/POP Infrastructure SaaS SaaS SaaS clement.gagnon@tactika.com Ex. Uptrends Ex. Google Analytics Ex. NvoicePay Ex. Gmail Vous La sécurité et le Cloud Computing - 14 Clément Gagnon - Tactika inc.
  15. 15. Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité ConfidentialitéLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 15
  16. 16. Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accèsClient SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logicielFournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travailLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 16
  17. 17. Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoningLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 17
  18. 18. Principales mesures de contrôle pour la sécurité de l’infrastructure Anti-virus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, anti-virus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Anti-virus, anti-logiciel espion, correctifsLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 18
  19. 19. Autres mesures de contrôle Définition dans l’entente de service/SLA des éléments de sécurité  Acceptation implicite des risques ! Sensibilisation et formation des utilisateurs Audit (vous et le fournisseur/tiers) Test d’intrusion (limité par le SLA et le modèle de prestation) Relève, redondance (vous versus le tiers) Surveillance (monitoring)La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 19
  20. 20. Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité de l’organisation  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants  Infrastructure du tiers  Des composants et de la gestion de ces composants  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Difficulté d’enquête (forensique) en cas d’incident  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Pérennité du tiers  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 20
  21. 21. Impacts – Quelques cas réels  Disponibilité  Avril 2011 Panne majeure chez Amazon  Août 2011 Panne mineure Amazon  Plusieurs sites importants tel que Foursquare, Reddit, etc subissent des pertes de disponibilité de plusieurs heures. http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Confidentialité  Mars 2011 Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit).  Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Intégrité  Février 2010 52 sites web du congrès étasunien ont subi une défiguration.  Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 21
  22. 22. La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés».La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 22
  23. 23. «Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 23
  24. 24. Facteurs de risque  Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque :  Le domaine d’affaires  La GRC (gouvernance, risque, conformité)  La prestation de services TI  Vos données  Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière boutique (intégration élevée, impact important)La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 24
  25. 25. Comment maitriser le risque Alignement sur les bonnes pratiques  ISO27001/2 - Code de pratique et processus d’un SMSI  ISO27005 - Gestion du risque  ITIL v3 - Gestion des TI ITIL : Information Technology Infrastructure Library pour « Bibliothèque pour linfrastructure des technologies de linformation ») SMSI : Système de Management de la Sécurité de l’Information selon ISO27002La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 25
  26. 26. SMSI et les tiers  Le fournisseur doit être considéré comme un tiers.  Son SMSI doit communiquer avec votre SMSI.  Clauses ISO27002 spécifiques aux tiers  6.2. Tiers  Identification des risques provenant des tiers  La sécurité et les clients  La sécurité dans les accords conclus avec des tiers  10.2. Gestion de la prestation de services par un tiers  Prestation de services  Surveillance et réexamen des services tiers  Gestion des modifications dans les services tiersLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 26
  27. 27. Vue* processus du SMSI Gestion des identités et des Gestion des risques habilitations Gestion des accès SMSI Gestion des configurations Gestion des mises Gestion des en production vulnérabilités Détection des intrusions Audit Gestion des incidents Gestion des tiers* partielle, sécurité et ITIL La sécurité et le Cloud Computing - 27 Clément Gagnon - Tactika inc.
  28. 28. Lien entre les SMSILa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 28
  29. 29. Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenterLa sécurité dans le Cloud - Clément Gagnon - Tactika inc. 29
  30. 30. Questions ? Merci de votre attention ! clement.gagnon@tactika.com www.tactika.com @tactikaLa sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. 30

×