SlideShare une entreprise Scribd logo

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance. Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)

1  sur  41
Télécharger pour lire hors ligne
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud
CSAM: une offre Microsoft
Consulting pour l'analyse des risques
du Cloud
Yann DUCHENNE
Mohammed BAKKALI
Microsoft France

Yann.duchenne@microsoft.com
Mohammed.Bakkali@microsoft.com

Sécurité
Objectifs
Adopter ensemble un langage commun sur la sécurité du Cloud
Poser de manière pragmatique les risques et challenges à l’adoption du
Cloud Computing dans votre organisation
Proposer une démarche d’analyse de risques pragmatique et des outils
pour évaluer l’impact du Cloud Computing dans vos scénarios

#mstechdays

Sécurité
AGENDA
Le Cloud et les
nouveaux enjeux
autour de la
sécurité

#mstechdays

La nécessité
d’évaluer les
risques

Sécurité

Les normes et la
démarche

CSAM, une offre
d’accompagneme
nt MCS
LE CLOUD ET LES NOUVEAUX
ENJEUX AUTOUR DE LA SÉCURITÉ

#mstechdays

Sécurité
Les différentes formes de Cloud
Computing
3 modèles de service
– Infrastructure as a Service (IaaS)
– Aller dans le Cloud
– Platform as a Service (PaaS)
– Construire le Cloud
– Software as a Service (SaaS)
– Consommer le Cloud

#mstechdays

Sécurité

Recommandé

Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
REX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsREX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsCOMPETENSIS
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 

Contenu connexe

Tendances

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité Edem ALOMATSI
 
Building a Hybrid Cloud Architecture Utilizing AWS Landing Zones
Building a Hybrid Cloud Architecture Utilizing AWS Landing ZonesBuilding a Hybrid Cloud Architecture Utilizing AWS Landing Zones
Building a Hybrid Cloud Architecture Utilizing AWS Landing ZonesTom Laszewski
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiqueDigicomp Academy Suisse Romande SA
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 
Le portefeuille de projet S.I.
Le portefeuille de projet S.I.Le portefeuille de projet S.I.
Le portefeuille de projet S.I. EY
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
Présentation CloudStack by Ikoula pour les Start-up @ La Cantine
Présentation CloudStack by Ikoula pour les Start-up @ La CantinePrésentation CloudStack by Ikoula pour les Start-up @ La Cantine
Présentation CloudStack by Ikoula pour les Start-up @ La CantineIkoula
 
Enterprise Architecture and Open Source
Enterprise Architecture and Open SourceEnterprise Architecture and Open Source
Enterprise Architecture and Open SourceKarim Baïna
 
Comment integrer les applications de votre Systeme Information entre elles ?
Comment integrer les applications de votre Systeme Information entre elles ?Comment integrer les applications de votre Systeme Information entre elles ?
Comment integrer les applications de votre Systeme Information entre elles ?Stéphane Traumat
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 

Tendances (20)

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité
 
Building a Hybrid Cloud Architecture Utilizing AWS Landing Zones
Building a Hybrid Cloud Architecture Utilizing AWS Landing ZonesBuilding a Hybrid Cloud Architecture Utilizing AWS Landing Zones
Building a Hybrid Cloud Architecture Utilizing AWS Landing Zones
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégique
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Security review using SABSA
Security review using SABSASecurity review using SABSA
Security review using SABSA
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
Le portefeuille de projet S.I.
Le portefeuille de projet S.I.Le portefeuille de projet S.I.
Le portefeuille de projet S.I.
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatique
 
Présentation CloudStack by Ikoula pour les Start-up @ La Cantine
Présentation CloudStack by Ikoula pour les Start-up @ La CantinePrésentation CloudStack by Ikoula pour les Start-up @ La Cantine
Présentation CloudStack by Ikoula pour les Start-up @ La Cantine
 
Enterprise Architecture and Open Source
Enterprise Architecture and Open SourceEnterprise Architecture and Open Source
Enterprise Architecture and Open Source
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Comment integrer les applications de votre Systeme Information entre elles ?
Comment integrer les applications de votre Systeme Information entre elles ?Comment integrer les applications de votre Systeme Information entre elles ?
Comment integrer les applications de votre Systeme Information entre elles ?
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 

En vedette

Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillonibtissam el hassani
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...ibtissam el hassani
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Mémoire gestion des risques fournisseurs en achat
Mémoire gestion des risques fournisseurs en achatMémoire gestion des risques fournisseurs en achat
Mémoire gestion des risques fournisseurs en achatAudrey Sigoure
 

En vedette (9)

Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...
Management des risques 7 : Outils de Sûreté de Fonctionnement pour l’Analyse ...
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Audit achat
Audit achatAudit achat
Audit achat
 
Mémoire gestion des risques fournisseurs en achat
Mémoire gestion des risques fournisseurs en achatMémoire gestion des risques fournisseurs en achat
Mémoire gestion des risques fournisseurs en achat
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 

Similaire à Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxGerard Konan
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Microsoft Décideurs IT
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Microsoft Technet France
 
SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...Microsoft Ideas
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 
Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT  2019Catalogue formation Tunnel-IT  2019
Catalogue formation Tunnel-IT 2019Tunnel-IT
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Nouh Droussi
 
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Nouh Droussi
 

Similaire à Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud (20)

AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptx
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !
 
SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT  2019Catalogue formation Tunnel-IT  2019
Catalogue formation Tunnel-IT 2019
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
 
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

  • 2. CSAM: une offre Microsoft Consulting pour l'analyse des risques du Cloud Yann DUCHENNE Mohammed BAKKALI Microsoft France Yann.duchenne@microsoft.com Mohammed.Bakkali@microsoft.com Sécurité
  • 3. Objectifs Adopter ensemble un langage commun sur la sécurité du Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre organisation Proposer une démarche d’analyse de risques pragmatique et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios #mstechdays Sécurité
  • 4. AGENDA Le Cloud et les nouveaux enjeux autour de la sécurité #mstechdays La nécessité d’évaluer les risques Sécurité Les normes et la démarche CSAM, une offre d’accompagneme nt MCS
  • 5. LE CLOUD ET LES NOUVEAUX ENJEUX AUTOUR DE LA SÉCURITÉ #mstechdays Sécurité
  • 6. Les différentes formes de Cloud Computing 3 modèles de service – Infrastructure as a Service (IaaS) – Aller dans le Cloud – Platform as a Service (PaaS) – Construire le Cloud – Software as a Service (SaaS) – Consommer le Cloud #mstechdays Sécurité
  • 7. Projet Cloud: interrogations majeures? A Alignement de ma stratégie avec celle de mon prestataire B Définition du besoin, du service et du prix C Intégration du Cloud dans le SI de mon entreprise D Protection et sécurité des données dans le Cloud E Licences et droits de propriété intellectuelle F Entrée et sortie du Cloud: Migration - Réversibilité #mstechdays Sécurité
  • 8. Préoccupations majeures à l’adoption du Cloud 48% 42% 34% 29% 26% 24% % de réponses (3 choix permis /… Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants #mstechdays Sécurité
  • 9. La sécurité dans le Cloud Résulte de la combinaison de: • Processus – Gestion des risques, des mises à jour, des configurations, etc • Personnes – Employés, sous-traitant, admins, développeurs, utilisateurs • Technologie – Pas seulement des technologies de sécurité #mstechdays Sécurité
  • 10. Ou se situe le périmètre de responsabilité? PaaS SaaS Classification des données Classification des données Classification des données Protection des terminaux Protection des terminaux Protection des terminaux Identité / gestion des accès Identité / gestion des accès Identité / gestion des accès Application Application Application Réseaux Réseaux Réseaux Serveurs Serveurs Serveurs Niveau de confiance dans le fournisseur Cloud IaaS Géré par le client Sécurité physique Sécurité physique Délégation, perte contrôle #mstechdays Sécurité Sécurité physique Géré par le fournisseur Cloud
  • 11. Le Cloud Service Provider est votre partenaire • Les risques que le client doit gérer: – Classification des données – Protection des terminaux • Les risques partagés – Gestion des identités et contrôle des accès • Les risques que le CSP peut vous aider à atténuer – Physiques – Liés aux réseaux #mstechdays Sécurité
  • 12. Pourquoi classifier les données? 1. Plan Identify data assets Permet aux organisations de catégoriser les données stockées par sensibilité et impact Identity data custodian 2. Do 4. Act Deploy classification program Reclassify data La classification est utilisée depuis des décennies dans certaines organisations (Microsoft, Gouvernements, Défense, etc) 3. Check Review classification report/log #mstechdays Aide à optimiser la gestion des données pour l’adoption du Cloud Sécurité
  • 13. Des solutions pour les données sensibles Une classification efficace nécessite une très bonne compréhension des besoins de l’organisation Une donnée classifiée comme confidentielle doit rester confidentielle au cours de son stockage, de son traitement et de son transfert Sensibilité Terminologie Model 1 Terminologie Model 2 Forte Confidentiel Restreintes Moyenne A usage interne uniquement Sensible Faible Publiques Non-restreintes #mstechdays Sécurité
  • 14. L’importance de classifier les données • Un document de référence poublié par TWC http://download.microsoft.com/download/0/9/2/092C54E6-1F364698-911B-4AE1D0347897/CISO-Perspectives-DataClassification.pdf • Une session des techdays dédiée au sujet « Classifier vos données pour envisager sereinement le Cloud et le BYOD ! » http://www.microsoft.com/france/mstechdays/programmes/2014/fich e-session.aspx?ID=1d1241c2-fa0c-412a-82d91443597ec6b8#TQV3aF0rZkRYPHRo.99 #mstechdays Sécurité
  • 15. Recommandations de la CNIL Cloud computing : les 7 étapes clés pour garantir la confidentialité des données Document publié le 1er juillet 2013  Recommandation n 1: Identifier clairement les données et les traitements qui passeront dans le Cloud  Recommandation n 2: Définir ses propres exigences de sécurité technique et juridique  Recommandation n 3: Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise  Et 4 autres recommandations #mstechdays Sécurité
  • 16. LES ORGANISATIONS ET NORMES TRAITANT DE LA SÉCURITÉ DU CLOUD #mstechdays Sécurité
  • 17. 2 organisations de référence • CSA – – • organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud https://cloudsecurityalliance.org/ ENISA – – #mstechdays centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information http://www.enisa.europa.eu/ Sécurité
  • 18. 2 documents de références 1 2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf #mstechdays Sécurité http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport
  • 19. De nombreuses normes • Internationales – – – – – ISO/IEC 27005 et 31000 U.S. National Institute of Standards and Technology (NIST) Information Systems Audit and Control Association (ISACA) Information Security Forum (ISF) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) • Et françaises – Ebios – Mehari – Marion (CLUSIF) #mstechdays Sécurité
  • 20. ISO 27005 • La norme ISO 27005:2008 décrit le processus de gestion des risques en sécurité de l’information • Précise et explicite le contenu de l’ISO 27001 • Décrit un processus itératif qui autorise une démarche en 2 phases: – Première appréciation du risque de haut niveau – Appréciation détaillée du risque dans un second temps #mstechdays Sécurité
  • 21. Amélioration continue de la maitrise des risques •Définition des objectifs •Appréciation du risque •Construction du plan d’actions •Prise de décisions •Mise en œuvre du plan d’action Plan Do Act Check •Amélioration continue du processus #mstechdays •Contrôle et révision continue des risques Sécurité
  • 22. Qu’est-ce qu’un risque? • « la combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51 1999) • « possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation » (ISO 27005:2008 (F) 3.2) #mstechdays Sécurité
  • 23. Qu’est-ce qu’un risques pour le Cloud? Exposition Impact Dégâts catastrophiques probables pour l'entreprise Elevé Perte nette probable pour l'entreprise Aucune réalisation probable des objectifs opérationnels Moyen Réalisation partielle probable des objectifs opérationnels Faible Pleine réalisation probable des objectifs opérationnels L’exposition est évaluée par son effet sur le métier Probabilité Faible #mstechdays Moyen Sécurité Elevé
  • 24. UNE PROPOSITION DE DÉMARCHE #mstechdays Sécurité
  • 25. Démarche fondée sur le travail de la CSA – Critères de choix du fournisseur de Cloud – https://cloudsecurityalliance.org/research/ccm/ – Versus NIST (US) et ENISA (Europe) #mstechdays Sécurité
  • 27. Principes de la démarche – Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security Alliance (CSA) – Evaluation focalisée sur la solution Cloud cible sur les 15 domaines de la Cloud Security Alliance (CSA) – Mise en évidence des risques acceptables et des risques à atténuer par comparaison entre la tolérance et l’exposition au risque de la solution – Elaboration des contre-mesures sur les risques à atténuer – Evaluation des risques résiduels après atténuation #mstechdays Sécurité
  • 28. • Compléter un tableau « Enterprise Tolerance Analysis » #mstechdays Sécurité
  • 29. • Compléter les questionnaires des domaines 1 à 15 #mstechdays Sécurité
  • 30. • Mettre en évidence les risques a traiter #mstechdays Sécurité
  • 31. • Mettre en évidence les risques à traiter Tolérance au risque Exposition au risque #mstechdays Sécurité
  • 32. • Identifier les éléments « fautifs » #mstechdays Sécurité
  • 33. • Adopter une stratégie de traitement du risque Réduction du risque Transfert du risque Détermination de contre-mesures par exemple : choix du fournisseur, ajout de contrôles, modification d’architecture, organisation, hébergement multifournisseurs (disponibilité) Transfert du risque vers le fournisseur Evitement du risque Acceptation du risque Choix de ne pas déployer le service dans le Cloud pour le scénario envisagé Décision de tolérer le risque pour l’hébergement de la solution considérée dans le Cloud Contrat de niveau de service (Service Level Agreement), pénalités Assurance Choix d’un modèle de déploiement (ex Cloud privé/hybride) #mstechdays Sécurité 4 stratégies possibles
  • 34. • Identifier les risques résiduels #mstechdays Sécurité
  • 35. CSAM, UNE PROPOSITION D’ACCOMPAGNEMENT MCS #mstechdays Sécurité
  • 36. Offre de Services CSAM Cloud Microsoft Le périmètre éligible est l’un des services de Cloud Microsoft (Office 365, Azure, CRM online, Yammer, .etc.) 5 JH L’offre de service CSAM s’appuie sur un questionnaire couvrant 15 domaines. La prestation est conçue sur la base d’une charge de 5 jours. Les livrables comprennent le support de restitution ainsi qu’un document de synthèse décrivant le niveau d’exposition aux risques. #mstechdays Sécurité
  • 37. En guise de synthèse • Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces • Des organismes reconnus (NIST, CSA, ENISA, etc.) ont déjà beaucoup travaillé sur le sujet Cloud et Sécurité – Capitalisez sur leurs ressources ainsi mises à disposition ! • Des approches d’analyse de risque spécifiques au Cloud comme celle proposée ici peuvent vous aider à adopter plus sereinement le Cloud ! • Microsoft Consulting peut vous accompagner dans cette démarche au travers de l’offre CSAM (Cloud Security Assessment Matrix) #mstechdays Sécurité
  • 39. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
  • 41. Vos interlocuteurs MCS sur l’offre CSAM Mohammed Bakkali Mohammed.Bakkali@Microsoft.com Yann Duchenne Yann.Duchenne@Microsoft.com #mstechdays Sécurité

Notes de l'éditeur

  1. http://blogs.technet.com/b/security/archive/2014/01/28/the-importance-of-data-classification.aspxhttp://download.microsoft.com/download/0/9/2/092C54E6-1F36-4698-911B-4AE1D0347897/CISO-Perspectives-Data-Classification.pdf
  2. http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf
  3. ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
  4. http://fr.wikipedia.org/wiki/ISO/CEI_27005
  5. Cette notion de processus itératif diffère des normes Ebios et Mehari qui traite des risques au coup par coup
  6. Qui sont les bons interlocuteurs ?