SlideShare une entreprise Scribd logo

ECP_La_securité_dans_le_cloud

1  sur  27
Télécharger pour lire hors ligne
Executive Certificate
Cloud Computing and
Architecture
Geoffroy Moens Juillet 2012
1
Comment garantir la sécurité
dans le Cloud en tenant
compte de contraintes de
plus en plus accrues ?
2
ECP - EC Cloud Computing et Architecture
 Introduction
 Sécurité traditionnelle
 Architecture du Cloud
 Les risques
 Le nouveau modèle de sécurité
 Conclusion
Sommaire
3
ECP - EC Cloud Computing et Architecture
Introduction
 Préoccupations majeures à l’adoption
Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
48%
42%
34%
29%
26%
24%
Sécurité des services
Craintes concernant l'accès, localisation aux données,
vie privée
Coûts variables et non prédictibles
Niveaux de service non adéquats (disponibilité,
performances, fiabilité)
Augmente le risque pour l'activité commerciale
Perception de perte de contrôle de l'IT et des choix
technologiques
% de réponses (3 choix permis / personne)
4
ECP - EC Cloud Computing et Architecture
Sécurité traditionnelle
 Sécurité de l’information et gestion des risques
 Gestion des identités et des accès
 Sécurité physique
 Cryptographie
 Sécurité des architectures
 Sécurité des infrastructures
 BCP/DRP
 Sécurité applicative
 Sécurité opérationnelle
 Aspects légaux
5
ECP - EC Cloud Computing et Architecture
ECP - EC Cloud Computing et Architecture
Sécurité de l’information
 Sécurité de l’information et gestion des risques
 Rôles et responsabilités – Approche Top-Down
 Objectifs – Confidentialité – Intégrité – Disponibilité
 Classification des données
 Analyse de risques
 Sensibilisation des utilisateurs
6

Recommandé

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 

Contenu connexe

Tendances

Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Cloud Computing et Marketing
Cloud Computing et MarketingCloud Computing et Marketing
Cloud Computing et MarketingMarketing PME
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingNicolas Hennion
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud HybrideMicrosoft
 

Tendances (20)

Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computing
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cloud Computing et Marketing
Cloud Computing et MarketingCloud Computing et Marketing
Cloud Computing et Marketing
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud Computing
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud Hybride
 

En vedette

Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECRetour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECMicrosoft Technet France
 
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...Microsoft
 
Experiences of SOACS
Experiences of SOACSExperiences of SOACS
Experiences of SOACSSimon Haslam
 
Présentation partners vip marketor atelier 8 elaboration d’une solution saa...
Présentation partners vip marketor atelier 8   elaboration d’une solution saa...Présentation partners vip marketor atelier 8   elaboration d’une solution saa...
Présentation partners vip marketor atelier 8 elaboration d’une solution saa...SaaS Guru
 
Présentation Eurocloud France - Cloud computing en France - Cédric Mora
Présentation Eurocloud France - Cloud computing en France - Cédric MoraPrésentation Eurocloud France - Cloud computing en France - Cédric Mora
Présentation Eurocloud France - Cloud computing en France - Cédric MoraCédric Mora
 
Enterprise-architecture and the service-oriented enterprise
Enterprise-architecture and the service-oriented enterpriseEnterprise-architecture and the service-oriented enterprise
Enterprise-architecture and the service-oriented enterpriseTetradian Consulting
 
CV_V. Monfort V7
CV_V. Monfort V7CV_V. Monfort V7
CV_V. Monfort V7monfort
 
Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing FICEL Hemza
 
INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016Alexis Hassler
 
Offre onepoint - Cloud
Offre onepoint - CloudOffre onepoint - Cloud
Offre onepoint - CloudGroupeONEPOINT
 
Introduction to Amazon Web Services
Introduction to Amazon Web ServicesIntroduction to Amazon Web Services
Introduction to Amazon Web ServicesAmazon Web Services
 
The SaaS business model
The SaaS business modelThe SaaS business model
The SaaS business modelDavid Skok
 
Julio Esquema ElaboracióN De RúBrica Con Directores
Julio Esquema ElaboracióN De RúBrica Con DirectoresJulio Esquema ElaboracióN De RúBrica Con Directores
Julio Esquema ElaboracióN De RúBrica Con DirectoresAdalberto
 
Cómo avalar a Nicolás García Pedrajas en las primarias de IU
Cómo avalar a Nicolás García Pedrajas en las primarias de IUCómo avalar a Nicolás García Pedrajas en las primarias de IU
Cómo avalar a Nicolás García Pedrajas en las primarias de IURafael Del Castillo Gomariz
 

En vedette (20)

Cloud club alliances
Cloud club alliancesCloud club alliances
Cloud club alliances
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECRetour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
 
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...
 
Soa and togaf practical guide
Soa and togaf practical guideSoa and togaf practical guide
Soa and togaf practical guide
 
Cloud presentation
Cloud  presentationCloud  presentation
Cloud presentation
 
Experiences of SOACS
Experiences of SOACSExperiences of SOACS
Experiences of SOACS
 
TOGAF 9 Soa Governance Ver1 0
TOGAF 9   Soa Governance Ver1 0TOGAF 9   Soa Governance Ver1 0
TOGAF 9 Soa Governance Ver1 0
 
Présentation partners vip marketor atelier 8 elaboration d’une solution saa...
Présentation partners vip marketor atelier 8   elaboration d’une solution saa...Présentation partners vip marketor atelier 8   elaboration d’une solution saa...
Présentation partners vip marketor atelier 8 elaboration d’une solution saa...
 
Présentation Eurocloud France - Cloud computing en France - Cédric Mora
Présentation Eurocloud France - Cloud computing en France - Cédric MoraPrésentation Eurocloud France - Cloud computing en France - Cédric Mora
Présentation Eurocloud France - Cloud computing en France - Cédric Mora
 
Enterprise-architecture and the service-oriented enterprise
Enterprise-architecture and the service-oriented enterpriseEnterprise-architecture and the service-oriented enterprise
Enterprise-architecture and the service-oriented enterprise
 
CV_V. Monfort V7
CV_V. Monfort V7CV_V. Monfort V7
CV_V. Monfort V7
 
Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016
 
Offre onepoint - Cloud
Offre onepoint - CloudOffre onepoint - Cloud
Offre onepoint - Cloud
 
Introduction to Amazon Web Services
Introduction to Amazon Web ServicesIntroduction to Amazon Web Services
Introduction to Amazon Web Services
 
The SaaS business model
The SaaS business modelThe SaaS business model
The SaaS business model
 
Julio Esquema ElaboracióN De RúBrica Con Directores
Julio Esquema ElaboracióN De RúBrica Con DirectoresJulio Esquema ElaboracióN De RúBrica Con Directores
Julio Esquema ElaboracióN De RúBrica Con Directores
 
Cómo avalar a Nicolás García Pedrajas en las primarias de IU
Cómo avalar a Nicolás García Pedrajas en las primarias de IUCómo avalar a Nicolás García Pedrajas en las primarias de IU
Cómo avalar a Nicolás García Pedrajas en las primarias de IU
 

Similaire à ECP_La_securité_dans_le_cloud

La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes Orange Business Services
 
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...La plateforme CHESS un outil pour l’analyse comparative des technologies de c...
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...Nabil Bouzerna
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesRUDDER
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Microsoft Technet France
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2☁️Seyfallah Tagrerout☁ [MVP]
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computingFlexineo
 
Réflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationRéflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationSylvain Maret
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge HartmannTelecomValley
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - MonitoringRadoine Douhou
 
Xamarin day - Xamarin et le cloud
Xamarin day - Xamarin et le cloudXamarin day - Xamarin et le cloud
Xamarin day - Xamarin et le cloudMichel HUBERT
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]IBM France PME-ETI
 

Similaire à ECP_La_securité_dans_le_cloud (20)

La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
CS.pdf
CS.pdfCS.pdf
CS.pdf
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
 
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...La plateforme CHESS un outil pour l’analyse comparative des technologies de c...
La plateforme CHESS un outil pour l’analyse comparative des technologies de c...
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexes
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computing
 
Réflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationRéflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélation
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 
Xamarin day - Xamarin et le cloud
Xamarin day - Xamarin et le cloudXamarin day - Xamarin et le cloud
Xamarin day - Xamarin et le cloud
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
 

ECP_La_securité_dans_le_cloud

  • 1. Executive Certificate Cloud Computing and Architecture Geoffroy Moens Juillet 2012 1
  • 2. Comment garantir la sécurité dans le Cloud en tenant compte de contraintes de plus en plus accrues ? 2 ECP - EC Cloud Computing et Architecture
  • 3.  Introduction  Sécurité traditionnelle  Architecture du Cloud  Les risques  Le nouveau modèle de sécurité  Conclusion Sommaire 3 ECP - EC Cloud Computing et Architecture
  • 4. Introduction  Préoccupations majeures à l’adoption Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants 48% 42% 34% 29% 26% 24% Sécurité des services Craintes concernant l'accès, localisation aux données, vie privée Coûts variables et non prédictibles Niveaux de service non adéquats (disponibilité, performances, fiabilité) Augmente le risque pour l'activité commerciale Perception de perte de contrôle de l'IT et des choix technologiques % de réponses (3 choix permis / personne) 4 ECP - EC Cloud Computing et Architecture
  • 5. Sécurité traditionnelle  Sécurité de l’information et gestion des risques  Gestion des identités et des accès  Sécurité physique  Cryptographie  Sécurité des architectures  Sécurité des infrastructures  BCP/DRP  Sécurité applicative  Sécurité opérationnelle  Aspects légaux 5 ECP - EC Cloud Computing et Architecture
  • 6. ECP - EC Cloud Computing et Architecture Sécurité de l’information  Sécurité de l’information et gestion des risques  Rôles et responsabilités – Approche Top-Down  Objectifs – Confidentialité – Intégrité – Disponibilité  Classification des données  Analyse de risques  Sensibilisation des utilisateurs 6
  • 7. Accès - Sécurité Physique - Chiffrement  Gestion des identités et des accès  Triple AAA - Authentification, Autorisation, Accounting  Types d’authentification - Connaître - Être - Avoir - Forte  Contrôles administratifs, physiques, techniques  Traçabilité  Sécurité physique  Protection contre la destruction physique, le vol, le vandalisme  Environnement naturel (zone sismique) ou artificiel (climatisation, énergie)  Cryptographie  Confidentialité, authentification, intégrité  Deux types: symétriques et asymétriques  Chiffrement des flux (TLS, IPSEC) ou du stockage (PGP) 7 ECP - EC Cloud Computing et Architecture
  • 8. Sécurité Architecture/Infrastructure  Sécurité des architectures  The Orange Book (TCSEC) vs ITSEC  Critères Communs (EAL) ISO 15408  Sécurité des infrastructures  Ensemble des équipements (Routeurs, serveurs, Pare-feu…)  BCP/DRP  Analyse d’impacts business  Rôles et responsabilités, stratégies, tests et maintenance des plans BCP/DRP  RPO/RTO 8 ECP - EC Cloud Computing et Architecture
  • 9. Applicative / Opérationnelle - Légal  Sécurité applicative  Niveau de Maturité CMM  Majorité des attaques (CSS, Buffer overflow, SQL injection)  Sécurité opérationnelle  Mise en œuvre de la triade CIA  Aspects légaux  Patriot Act, GLBA, Federal Privacy Act  CNIL - D95/46/EC - Safe Harbor  HIPAA  Bale 2, Solvabilité 2, Sarbanes-Oxley , PCI-DSS 9 ECP - EC Cloud Computing et Architecture
  • 10. Architecture Cloud  Modèle de déploiement  Impacts sur le modèle de sécurité  Jéricho Cloud Cube Model  Modèle de service  Impacts sur le modèle de sécurité  Curseurs de responsabilités  Sauf les données Interne IaaS Privé IaaS Public PaaS Public SaaS Public 10 ECP - EC Cloud Computing et Architecture
  • 11. Architecture Cloud - Les organismes  CSA  Security Guidance for Critical Areas  Cloud Computing Matrix  Bonnes pratiques  JERICHO FORUM  Les commandements  Les identités  La dé-périmetrisation  ENISA  Plutôt Européen  Evaluation du risque  NIST 11 ECP - EC Cloud Computing et Architecture
  • 12. Les risques majeurs  Perte de gouvernance SaaS Très critique 12 ECP - EC Cloud Computing et Architecture
  • 13.  Botnet as a service Les risques majeurs IaaS Faiblement Critique PaaS 13 ECP - EC Cloud Computing et Architecture
  • 14.  Sécurité des API  Interfaces utilisateurs  Sécurité applicative  Initiés malveillants  Boîte noire des fournisseurs  Cascade de fournisseurs Les risques majeurs IaaS Faiblement CritiqueSaaS PaaS IaaS Moyen CritiqueSaaS PaaS 14 ECP - EC Cloud Computing et Architecture
  • 15. Les risques majeurs  Ressources et technologies partagées  Virtualisation - Essence même du Cloud  Sécurité des architectures  Pertes de données - Corrompues  L’impensable  Cycle des données IaaS Très Critique IaaS Très CritiqueSaaS PaaS 15 ECP - EC Cloud Computing et Architecture
  • 16. Les risques majeurs  Hijacking ou usurpation d’identités  Hameçonnage, ingénierie sociale, fraude  Peu d’authentification forte  Conformité des données  Responsabilités des données et des traitements  Coopération entre pays  Traçabilité  Audit  Exigences réglementaires métiers IaaS Très Critique IaaS Moyen CritiqueSaaS PaaS SaaS PaaS 16 ECP - EC Cloud Computing et Architecture
  • 17. Les risques majeurs  Récupération des données  BCP/DRP  Architecture du fournisseur  Délai de reprise  Localisation des données  Répartition sur plusieurs pays  Absence de localisation  Fournisseur Américain IaaS Faiblement Critique IaaS Très CritiqueSaaS PaaS SaaS PaaS 17 ECP - EC Cloud Computing et Architecture
  • 18. Les risques majeurs  Délit financier  Attaque concurrentielle  Impact financier direct  Retour du terrain  Grosses entreprises du CAC40  Risques inacceptables  Perte de gouvernance  Perte de données  Localisation des données IaaS Faiblement Critique 18 ECP - EC Cloud Computing et Architecture
  • 19. Le modèle de sécurité Cloud  Les 13 domaines de la CSA  Bonnes pratiques pour fournisseurs et clients  Outil pour une analyse de risques  Redéfinit les domaines de sécurité en deux catégories  Gouvernance Management du risque Aspects légaux Audit et conformité Management de l’information et sécurité des données Interopérabilité et portabilité  Domaines Opérationnels BCP/DRP Opération dans les centres de données Réponses aux incidents, notification et résolution Sécurité des applications Encryptions et gestion de clefs Gestion des identités et contrôle d’accès Virtualisations Security as a service 19 ECP - EC Cloud Computing et Architecture
  • 20. Les réponses aux risques  Politique de sécurité interne  50% absence ou faiblement protégé  Le danger vient à 80% de l’intérieur  Des centaines de bonnes pratiques  Plusieurs degrés de certifications possibles  Règlementations légales ou métiers QUE FAIRE ? 20 ECP - EC Cloud Computing et Architecture
  • 21. L’analyse de risques du Cloud  La démarche d’analyse de risques  Classifier les données  Coûts associés  Sensibilisation des utilisateurs  Sélectionner les applications  Immédiatement  Possible mais plus tard  Attendre et réfléchir Confidentiel Privé CLOUD Sensible Public 21 ECP - EC Cloud Computing et Architecture
  • 22. L’analyse de risques du Cloud  Evaluation de la tolérance au risque de l’entreprise  Approche systémique  Le questionnaire du DG  Assisté par le RSSI  L’ensemble des domaines  Evaluation des risques pour la solution CLOUD  RSSI, Architecte métiers, systèmes, réseaux, applicatifs  Très détaillés  Domaines du CSA  Pour chaque application 22 ECP - EC Cloud Computing et Architecture
  • 23. L’analyse de risques du Cloud 23
  • 24. L’analyse de risques du Cloud  Correspondance 24 ECP - EC Cloud Computing et Architecture
  • 25. L’analyse de risques du Cloud  Stratégies d’atténuation  Evaluation des risques résiduels  GO / NO GO Réduction du risque Contre-mesures Transfert du risque SLA, clauses particulières, pénalités, assurance Evitement du risque Pas de déploiement, on change de modèle d’architecture Acceptation du risque On prend le risque 25 ECP - EC Cloud Computing et Architecture
  • 26. Conclusion Interne CLOUD 100% sécurisé Gouvernance Sécurité physique Coffre-fort Risques utilisateurs Sensibilisation Risques technologiques Professionnels Conformité et lois Andromède, ECP SLA Professionnels Audit ISO27001, SOC1 type II Standards En bonne voie Modèle hybride Compromis 26 ECP - EC Cloud Computing et Architecture
  • 27. 27 ECP - EC Cloud Computing et Architecture