SlideShare une entreprise Scribd logo
1  sur  65
Auditer les
infrastructures cloud :
risques et défis
Sonia KALLEL
Consultante en Gouvernance et Management des
Systèmes d’Information
Business and Information Technology – Tunisia
Conférence PECB INSIGHTS
Paris – 24-26 Octobre 2018
2
PROBLEMATIQUE
 L’audit est une bonne pratique et un outil de gouvernance et c’est un moyen
d’amélioration continue.
 L’audit permet de vérifier la conformité des système d'information et de
leurs responsables aux exigences techniques , légales, règlementaires ,
contractuelles et statutaires et aux normes de réussite financière de
l'entreprise face à diverses menaces.
 Ces objectifs restent toujours valables et même plus pertinents dans le
nouveau modèle IT en cloud pour notamment assurer la protection des
données mais ils nécessitent une adaptation car le Cloud perturbe la
prévisibilité associée aux architectures informatiques traditionnelles, aux
contrôles de sécurité et aux procédures d'audit habituelles et pose de
nouveaux défis aux professionnels de l'audit.
 Dans cette présentation, nous allons parler des risques potentiels propres
aux infrastructures du cloud et aux défis vécus par les auditeurs, présenter
des approches d'audit spécifiques au Cloud et lister quelques
recommandations d’audit pour garantir de meilleures gouvernance et
gestion du cloud.
3
Quelques définitions ….
 Le Cloud Computing ou encore Cloud ou l’informatique dans les nuages,
n’est pas une nouvelle technologie, mais c’est une nouvelle façon de délivrer
les ressources informatiques et les services qui dérive du modèle
d’outsourcing.
 Le cloud computing est considéré comme un changement significatif de
la plate-forme dans laquelle les services métier sont traduits, utilisés et
gérés. Beaucoup considèrent qu'il s'agit d'un changement informatique aussi
important que l'avènement de l'ordinateur personnel (PC) ou de l'accès à
Internet.
 Plusieurs définitions ont été avancées pour décrire le cloud computing mais
d’une façon générale
« L’informatique dans les nuages est un modèle permettant d’établir un
accès par l’internet ou des réseaux privés à un réservoir partagé de
ressources informatiques configurables
(réseau, serveurs, stockage, applications ) et de services qui peuvent
être rapidement mobilisés et mis à disposition en minimisant les efforts de
gestion ou les contacts avec le fournisseur de service et en permettant
l’attribution des services à la demande et le paiement en fonction de
l’utilisation»
4
5
Caractéristiques Essentielles du Cloud
Computing
 Le Cloud consiste à mutualiser des ressources
informatiques entre plusieurs utilisateurs;
 Il permet au client d’accéder à son espace loué par un réseau
de type Internet sans préoccupation matérielle ni logicielle;
 L’accès aux ressources se fait en libre service et à la
demande, à des conditions contractuelles déterminées à
l’avance en terme de performance, de sécurité, de coût;
 L’avantage de l’accès « à la demande » : un prix adapté à la
consommation réelle du client utilisateur et une optimisation
de la consommation (élasticité en fonction du volume des
besoins à un moment précis);
 Le cloud offre des moyens et outils pour gérer , superviser,
contrôler et générer des rapports sur l’utilisation.
6
Trois principaux types de services Cloud
IaaS: infrastructure as a Service
: Le fournisseur de Cloud fournit
l’infrastructure hébergée (l’espace
de stockage, les serveurs,…) qui
fera fonctionner la plate forme et
les applications de l’entreprise,
pendant que l’entreprise contrôle le
système d’exploitation et les
applications installées.
Amazon EC2, Windows AzurePaaS : Platform as a Service : Le
fournisseur de Cloud fournit la totalité de
l’environnement fonctionnel de la
plateforme. Il ajoute une couche sur
l’IaaS en fournissant la capacité de
déployer des applications sur une
infrastructure en nuage. Il ne reste plus à
l’entreprise qu’à maintenir ses
applications.
Windows Azure, Google App Engine,
SaaS : Software as a Service : le
fournisseur de Cloud fournit, en plus
de tout le reste, les applications des
entreprises (CRM, Messagerie,
ERP…). L’entreprise a seulement le
rôle du client/utilisateur
Google Apps, Microsoft Office 365.
7
SaaS, PaaS, IaaS
8
Les modèles de déploiement du Cloud
9
Exemples de cloud publiques
10
Nouveau Mode Opératoire
11
Utilisation du Cloud en France
12
Accès au Cloud
 le client loue un droit d’accès
et d’utilisation du système
informatique auprès du
fournisseur.
 Le client dispose ainsi d’un
accès à distance à des
applications sur un serveur
extérieur, ce qui le dispense
d’acquérir lui-même
l’infrastructure informatique
nécessaire, les licences
d’utilisation de progiciels etc.
13
Les Entreprises et le Cloud
 Parmi les multiples évolutions de l’informatique, des modèles
d’organisation et d’exploitation des technologies , on parle du Cloud
Computing .
 L’épanouissement du cloud a bénéficié de la convergence de plusieurs
phénomènes dont,
 l’extension considérable et la multiplication de la puissance des
équipements informatique,
 la numérisation/digitalisation
 la virtualisation ( base du cloud)
 la prolifération et la diversification des logiciels et
 la transformation du mode d’usage ou de consommation des entreprises
et des particuliers (Internet, e-services)
 Pour rester compétitives et bénéficier d’une plus grande agilité
d’organisation et de prise de décision, les entreprises tirent profit
aujourd’hui des multiples possibilités offertes par le Cloud à travers le
réseau internet.
14
Pourquoi partir dans le cloud ?
 Les stratégies de cloud améliorent l’efficacité et la flexibilité de
l’entreprise,
 Le cloud permet d’offrir des services plus innovants et
compétitifs,
 Le cloud réduit les coûts globaux d’exploitation.
Comme tout investissement, les projets de cloud doivent être
conduits par le conseil d’administration/ haute direction afin de
garantir la création de valeur et l’optimisation du risque !!!
 C'est une décision stratégique basée sur l’évaluation des
avantages plutôt qu'une décision purement
technologique
 Il s’agit de remplacer les actions classiques de
configuration, de mise en œuvre et de maintenance des
applications internes par la mise en œuvre d’une
stratégie pour le cloud qui satisfait les besoins de
l'entreprise
15
Avantages du Cloud
 Gagner un avantage concurrentiel et pénétrer de nouveaux
marchés,
 Dans certains pays , gagner un avantage fiscal qui permet de réduire
les impôts sur le résultat
 Accroître la productivité et réduire la propriété et la maintenance du
matériel et des logiciels, ce qui permet aux organisations de se
concentrer sur leurs stratégies et leurs points forts et de gagner sur le
coût de la redondance
 Améliorer les produits et services existants, fidéliser les clients
actuels et ramener de nouveaux clients
 Développer des produits et services impossibles à élaborer sans
les services du cloud et s’affranchir des barrières géographiques.
 Répondre au besoin de mobilité et d’accès à distance
 Ne plus s’occuper de la gestion du centre de données ni du stockage
16
Avantages du Cloud
 Consommer moins d'énergie et contribuer au green IT
 Mettre en place et mettre à niveau une infrastructure informatique même
en cas de budget informatique limité
 Minimiser les durées de mise en place de l'infrastructure informatique en
profitant des techniques et des avantages de la virtualisation et du savoir
faire des fournisseurs de cloud
 Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer
les demandes de pointe en investissant dans du matériel et des logiciels
supplémentaires sous-utilisés dans les périodes creuses.
 Réaliser des économies potentiellement importantes en permettant aux
entreprises de maximiser l'informatique dynamique sur une base de
paiement à l'utilisation (éviter les frais fixes et payer par utilisateur/par
transaction)
 Aligner rapidement la technologie de l’information sur les stratégies
commerciales grâce à ce provisionnement à la demande
17
Utilisation du Cloud dans le monde
18
Grâce au Cloud, Les données sont désormais accessibles partout et à tous, sans
limitation de moyen et de stockage et ceci à moindre frais. Elles deviennent encore
plus importantes et représentent un véritable gisement de valeur pour les
entreprises.
!!! Le déplacement des données, systèmes et
services vers le cloud expose les entreprises à
de grands risques/ défis en matière de sécurité ,
d’audit et de conformité.
Est-ce que l’accroissement des risques ne va
pas peser plus lourd que les résultats
positifs du cloud , même s’ils sont bien réels
?
Quelle assurance y a t-il que les plans du
management vont permettre d’obtenir ces
résultats ?
Comment le monde de la sécurité, de l’audit
et de la conformité des systèmes
d’information doit évoluer dans les
environnements Cloud ?
19
Risques et Défis de mise en oeuvre du
Cloud
 Le cloud change la nature de certains risques qui existaient déjà
dans un environnement traditionnel mais qui peuvent augmenter ou
diminuer suite au passage dans le cloud
 Le cloud conduit aussi à de nouveaux risques , tant du côté du client
que du côté du fournisseur, car il bouleverse la prédictibilité
associée aux architectures informatiques traditionnelles , aux
contrôles de sécurité et aux procédures d’audit habituelles –
 Le Cloud pose ainsi de nouveaux défis aux
professionnels de la sécurité, de la conformité
et de l’audit des systèmes d’information qui sont
chargés de protéger les données de l’entreprise
ainsi que les ressources informatiques
tout en s’assurant de la conformité des
mesures de sécurité.
20
Risques Associés au Cloud
 Les risques du Cloud sont associés à plusieurs facteurs dont :
 la technologie et les contrôles de sécurité;
 les contraintes légales , règlementaires et contractuelles;
 le modèle de déploiement et la répartition des tâches avec les tierces
parties;
 le processus d’achat et son impact sur la gouvernance
 Les risques changent en fonction du modèle Cloud choisi - IaaS, PaaS et
SaaS - et du mode de déploiement - public ou privé et dépendent des
menaces et des vulnérabilités de l’environnement –
 La sécurité des actifs et la protection des données sensibles sont
souvent vues comme des questions cruciales, voire des obstacles à
l’adoption de services d’informatique en nuage.
 Hormis les risques liés à la technologie et à la sécurité, il existe également
un grand nombre d'autres problèmes à prendre en compte lors de la
transition vers le nuage, tels que les problèmes réglementaires, juridiques
et liés à la conformité.
21
La sécurité technique éternel défi
22
La sécurité technique éternel défi
23
Freins à l’adoption du Cloud
24
Risques Associés à la Sécurité Technique
 Processus de gestion des accès peut être défectueux ou vulnérable
(infrastructure et application, cloud public) : Accès à des données non autorisées et
Visibilité de certains actifs (par exemple, les tables de routage, les adresses MAC,
les adresses IP internes, le trafic LAN) par d'autres entités dans le même cloud et
leur utilisation d’une manière malveillante.
 Allocation dynamique des ressources: Visibilité de données sensibles aux autres
locataires . Cela fait référence aux données qui sont stockées dans l'espace
mémoire ou l'espace disque et qui peuvent être récupérées par d'autres entités
partageant le cloud ( concurrents)
 Présence de vulnérabilités techniques au niveau des hyperviseurs, des
navigateurs , des applications et des services web : Les infrastructures Cloud sont la
cible d’attaques par des pirates et malveillants profitant de ces vulnérabilités pour
rendre indisponibles les systèmes et / ou réduire la protection des données – un
pirate qui parvient à identifier une seule vulnérabilité peut compromettre un grand
nombre de systèmes
 Le réseau INTERNET n’est pas sécurisé : exposition des utilisateurs du cloud
public à la possibilité de cyber attaques et de violation de sécurité des données.
 Interface de gestion de la virtualisation non sécurisée / Défaut de bonne
isolation
25
Risques Associés à la Sécurité
Organisationnelle
 Non alignement de la stratégie de sécurité du fournisseur
sur la stratégie de sécurité de l'entreprise : les contrôles de
sécurité mis en place par le fournisseur pour prévenir les attaques ou manquements de
sécurité doivent respecter les politiques de sécurité de l’entreprise cliente.
– Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer
que les applications utilisées répondent à ses exigences de sécurité pour réduire le
risque de divulgation et d’altération.
– Exemple : Les Clouds communautaires partagent des ressources entre différentes
entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain
niveau de confiance mutuelle. Cette confiance doit être régulée plus faible» du groupe
pourrait mettre en danger toutes les entités du groupe par une politique de sécurité
commune. Sinon, une attaque sur le «maillon le plus faible va toucher toute la
communauté.
– Exemple : Les données sont disséminées partout et nécessitent une protection
supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin
supplémentaire de cryptage , un besoin supplémentaire de gestion des identités et
des informations d’identification et une nécessité de Journalisation
26
Risques Associés à la Sécurité
Organisationnelle
 Mauvaise Gestion de la fin de service : Perte de disponibilité ou reprise
partielle / perte de données ou difficulté de récupérer toutes ses données
dans le délai spécifié
 En cas de migration de l'entreprise d'un fournisseur de services vers un
autre ou le retour en interne des services
 En cas d’échec ou de faillite du fournisseur , ou de crise de confiance
dans la situation financière du fournisseur ou s’il fait face à une action
en justice ou s’il est la cible potentielle d'une acquisition avec la
probabilité de changements soudains dans ses politiques et les
accords mis en place.
 Non disponibilité des compétences nécessaires : pour soutenir et
sécuriser les solutions de cloud
 Résistance Culturelle et IT à l’adoption du cloud : source de
nonchalance et parfois de malveillance qui entraine la perte des données
ou l’arrêt des services
27
Risques Associés à la Conformité
 Situations de non respect de la conformité
1- Les données, systèmes et services échappent de plus en plus au contrôle
des services informatiques centralisés, ce qui représente un risque
considérable pour la sécurité des données sensibles et peut nuire à la
capacité de l’entreprise à maintenir sa conformité aux réglementations
sectorielles et aux stratégies de sécurité internes.
2- Les services achetés individuellement ( et éventuellement sans vérification
profonde au préalable) peuvent entrer en conflit avec l’existant et menacer la
conformité technique du client avec les stratégies technologiques en
place et même sa conformité avec les réglementations légales et
règlementaires (portabilité et protection des données, copyright , application
des lois, responsabilité,..)
3- L'emplacement de l'installation de traitement peut changer en fonction de
l'équilibrage de la charge : Si le fournisseur Cloud ne peut pas assurer à son
client l'endroit où les données sont hébergées , ceci peut toucher à sa
conformité à certaines exigences légales et règlementaires.
28
Risques Associés à la Conformité
4- Insuffisance de transparence de la part des prestataires de Cloud
quant aux conditions de réalisation des prestations, notamment sur la
sécurité et sur la question de savoir si les données du client sont
transférées à l’étranger, et plus précisément à destination de quels
pays entraine le risque de non respect de la confidentialité des flux
transfrontalier d'informations personnelles identifiables (PII)
• augmente la complexité de la vérification de la conformité
• et rend plus difficile le respect des directives et lois sur la vie
privée et sur la protection des données et l'entreprise peut faire
l'objet de poursuites et d'amendes pour non-conformité.
5- Non-conformité du fournisseur : entraine la non-conformité du
client car le client doit imposer à son fournisseur toutes les
exigences légales ou réglementaires qui s'appliquent à lui
29
30
Risques Associés à la
Cohabitation/Colocation
Accès ( physique ou logique) d’un tiers à des informations sensibles
(éléments de propriété intellectuelle, secrets commerciaux, données de santé)
: risque de compromettre la confidentialité.
Partage physique et logique des locaux et des équipements : le risque de
mélanger des données sensibles du client avec les données d’autres clients du cloud,
notamment celles des concurrents et de compromettre la confidentialité,
 L’exécution des audits réguliers de sécurité et des investigations afin
d'évaluer les mesures de sécurité du fournisseur : risque de violer les obligations
contractuelles des fournisseurs envers leurs autres clients. En effet, ces actions
nécessitent un accès étendu aux capacités d'infrastructure et de surveillance du
fournisseur , qui sont souvent partagées avec ses autres clients et peuvent
compromettre la sécurité des données de ses derniers.
31
Risques Associés à la Sous-
traitance/Externalisation
 La dépendance au fournisseur : entraine des problèmes de disponibilité et de
qualité des services et des données. La renommée, l’historique et la viabilité des
fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être
exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des
garanties suffisantes.
 Choix du fournisseur : Les entreprises doivent pouvoir choisir un fournisseur de
services de cloud capable de satisfaire aux exigences en matière de conformité et
d'offrir des preuves irréfutables de sa conformité (certifications par des auditeurs tierce
partie)
 Résistance des fournisseurs aux audits
 Modèle standard de sécurité du fournisseur : Les infrastructures de Cloud
ont généralement une architecture de sécurité unique avec des modèles et standards
de sécurité non encore matures alors que les clients peuvent avoir des demandes
différentes.
 Manque de contrôle des versions SaaS en mode Public
32
Risques Associés à la Sous-
traitance/Externalisation
 Manque de contrôle directe et de visibilité
- Il est probable que l’entreprise ait peu de connaissances ou de « visibilité » sur les
personnes, les processus et la technologie soutenant ses actifs informationnels dans le
cloud.
- Les entreprises peuvent/doivent abandonner voire déléguer le contrôle directe
de tout système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs
de services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur la
protection de la vie privée et par rapport aux responsabilités (Qui est responsable et de
quoi en cas de brèche de sécurité )
• Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à des
lois différentes dans les pays d'accueil et qui peuvent mettre les données en
danger surtout que avec l’ambiguité légale et règlementaire , la jurisprudence
est très mince concernant les responsabilités en matière de cloud
• Le fournisseur de cloud prend souvent la responsabilité de la
manipulation des informations, un des actifs primordiaux de l’entreprise. S’il
n’est pas capable d’assumer les niveaux de services établis, la confidentialité ,
la disponibilité et l’intégrité risquent d’être compromises, ce qui perturbe
gravement les opérations de l’entreprise.
33
Risques Associés à la Sous-
traitance/Externalisation
 Propriété de l’actif : Passer au cloud implique que les actifs informationnels
de l’entreprise pourraient être « gérés » par le fournisseur.
 Tout actif informationnel (données, application ou processus) migré vers un
fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction
des conditions du contrat.
 Ainsi, l'entreprise peut perdre des données sensibles ou peut les voir
divulguées parce que l'entreprise n'est plus le seul propriétaire légal de l'actif.
En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par
contrat) à payer des frais pour récupérer ses propres actifs.
En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner une
confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est
nécessaire de récupérer des informations, cela peut générer des retards
En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide
d'outils assurant un effacement complet pour empêcher la divulgation
34
Risques Associés au Processus d’Achat
 L’entreprise devient vulnérable et perd sa gouvernance si elle
ne met pas en place une gestion et une maintenance plus
transparentes et vérifiables.
Situation :
• Les entreprises, en particulier lorsque elles sont confrontées à des délais urgents
qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent
être mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs
de services en cloud.
• Facilité d’accroître la capacité ou de demander des services supplémentaires via un
simple appel téléphonique.
Conséquences :
• Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en
place des services sans passer par les processus d’approvisionnement nécessaires
à une bonne gouvernance.
• Il est également possible d’outrepasser les autorisations relatives au budget, les
processus de vérification des changements, les contrôles de protection de
l’information et d’autres processus de supervision, ce qui peut empêcher de se
conformer aux règles internes.
35
Risques Associés aux contrats
La conciliation entre les avantages qu’offre le cloud computing et les inconvénients qu’il
représente réside dans la relation formée entre le client et le prestataire et l’équilibre contractuel
entre les deux.
 Risque de Non maitrise du contenu des contrats et SLA
 Qui est le Propriétaire des données ?
 Que se passe-t-il à la fin du contrat?
 Performance (Temps de réponse)
 Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont elles
lisibles?
 Déclassement de matériel
 Clause d’Audit
 CAPEX vs OPEX (coûts fixes vs coûts variables)
 Les modes de facturation proposés sont parfois « flou », et dépendent de plusieurs
paramètres : volumétrie, le coût de production ou de mise à disposition, et enfin le tarif
locatif du service.
 En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le fournisseur
(propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se retrouver lié par ses
clauses qui ne lui laissent pas la possibilité de négocier.
 En Cloud Privé : les organismes spécialisés et les entreprises grands comptes établissent avec
le fournisseur un contrat personnalisé qui offre des services adaptés à leurs besoins et qui
prévient les risques et évite les inconvénients qui peuvent résulter du service offert.
36
Contrat du Cloud
 Un contrat Cloud doit contenir un minimum de clauses qui
assurent au client
 un recours juridique plus efficace en cas de promesses non tenues ou de
difficultés dans l’exécution
 L’interdiction de la cession du contrat par le fournisseur sans justifications et
préavis
 La connaissance et l’acceptation par le client de la chaîne des intervenants
 Un droit de sortie du contrat sans pénalités en cas de changement de majorité
ou de contrôle du fournisseur
 Que les données à caractère personnel restent dans le pays du client ( le cas
échéant)
 Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur
 Un droit de restitution ou de destruction des données sans délai
supplémentaire et la connaissance de la procédure de restitution des données
(délai, format de restitution, coût etc. à la fin du contrat
37
Risques du Cloud : Facteur du risque et
Conséquences en IaaS
Facteur Indisponibilité Perte/Vol Divulgation
Évolutivité /élasticité X Decreasing
Récupération après sinistre et
sauvegarde
X X Decreasing
Gestion des patchs X X X Decreasing
Exigences transfrontalières légales X Increasing
Locations multiples et échec d'isolation X X Increasing
Manque de visibilité entourant les
mesures de sécurité techniques en
place
X X X Increasing
Absence de Plan de Reprise après
sinistre et de sauvegarde appropriés
X X Increasing
Sécurité Physique X X X Increasing
Déplacement / élimination des données X Increasing
Infrastructure de délocalisation X X X Increasing
Maintenance de la sécurité des VM X X X Increasing
Authentification du fournisseur de cloud X X X Increasing
38
Facteur Indisponibilité Perte/Vol Divulgation
Temps de développement
court
X X X Decreasing
Alignement des
applications avec la
plateforme du fournisseur
X X X Increasing
Vulnérabilités liées à
l’architecture orientée
services
X X X Increasing
Arrêt des applications en
fin de service
X X Increasing
Risques du Cloud : Facteur du risque et
conséquences en PaaS
39
Risques du Cloud : Facteur du risque et
conséquences en SaaS
Facteur Indisponibilité Perte/Vol Divulgation
Sécurité améliorée X X X Decreasing
Gestion des correctifs d'application X X Decreasing
Propriété des données X X X Increasing
Élimination des données X X Increasing
Manque de visibilité dans le cycle de
vie de développement SDLC
X X X Increasing
Gestion des identités et des accès
( IAM)
X X Increasing
Stratégie de sortie ou de retour en
interne
X X Increasing
Plus large exposition des applications X X X Increasing
Facilité de signature des contrats de
type SaaS
X X X Increasing
Manque de contrôle sur le processus
de mise en production
X X Increasing
Vulnérabilités liées au navigateur X X Increasing
40
Risques du Cloud : Facteur du risque et
conséquences en Cloud Publique
Facteur Indisponibilité Perte/Vol Divulgation
Réputation publique X X X Decreasing
Partage complet du
nuage (mise en
commun des données)
X X X Increasing
Dommage indirect X X X Increasing
 Dans une infrastructure informatique en nuage public, le fournisseur
d’informatique en nuage partage l’infrastructure et les ressources entre
plusieurs entreprises et personnes non reliées entre elles.
 Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure
entière présenterait le risque de faire défaut, de se faire voler ou d’être
saisie (pour des raisons d’enquête), ceci incluant les services utilisés par
d’autres entreprises
 Il est important lors du processus de décision de bien considérer quels actifs
peuvent aller sur une infrastructure informatique en nuage publique et
lesquels ne le peuvent pas.
41
Risques du Cloud : Facteur du risque et
conséquences en Cloud Communautaire
Facteur Indisponibilité Perte/Vol Divulgation
Même groupe d'entités X X X Decreasing
Accès dédié à la
communauté
X X X Decreasing
Partage du nuage X X X Increasing
 Dans l’informatique en nuage communautaire, les services sont déployés et
utilisés par des clients qui nécessitent un environnement avec un niveau de
« confiance » sensiblement équivalent.
 Dans certains cas, les entités possèdent la même politique de sécurité
(renforçant ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de
stratégie ou de politique commune.
42
Risques du Cloud : Facteur du risque et
conséquences en Cloud Privé
Facteur Indisponibilité Perte/Vol Divulgation
Peut être construit sur
place
X X X Decreasing
Performance X X Decreasing
Compatibilité de
l'application
X X Increasing
Investissements requis
peut être
déclenché par le
coût
peut être
déclenché par le
coût
peut être
déclenché par le
coût
Increasing
Compétences
informatiques Cloud
requises
peut être
déclenché par le
coût
peut être
déclenché par le
coût
peut être
déclenché par le
coût
Increasing
Dans une informatique en nuage privée, les services sont déployés
uniquement pour les services de l’entreprise. Aucune interaction de cette
infrastructure avec d’autres entités n’est autorisée. L’informatique en nuage
privée existe sur site ou hors site.
43
Risques du Cloud : Facteur du risque et
conséquences en Cloud Hybride
Facteur Indisponibilité Perte/Vol Divulgation
Interdépendance du
cloud
X X X Increasing
 L’informatique en nuage hybride est un modèle permettant à l’entreprise
l’association du cloud publique, communautaire et privé, et ce
dépendamment du niveau de confiance requis pour leurs actifs
informationnels.
44
Audit des SI dans le cloud (bonne gouvernance)
Audit fondé sur les risques
 L’organisation doit avoir l’assurance que ses fournisseurs cloud
peuvent livrer le service souhaité et que les contrôles pour adresser les
risques – contrôles relatifs à la sécurité, la disponibilité, l’intégrité des
traitements, la confidentialité et le caractère privé des données sont mis en
place par le fournisseur et sont fonctionnels
 Les auditeurs doivent rassurer les clients du cloud
 Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le
prolongement naturel de l’audit fondé sur les risques identifiés, en
particulier lorsque les contrôles ne réduisent pas suffisamment les risques.
 L’approche fondée sur les risques est aujourd’hui la plus répandue pour
divers types d’audits ( ISACA, ISO 19011:2018)
 L’approche fondée sur les risques est cependant compliquée par le fait que
toutes les technologies et tous les contrôles sont hébergés à
l’extérieur de l’entité auditée
45
Audit des SI en cloud : Portée et
Objectifs de l’audit
 L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire
que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer
les contrôles d’atténuation des risques et auditer les éléments à risque.
 Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation
et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des
lois et règlementations récentes en matière de sécurité et de protection des données ont
étendu la portée et objectifs de la conformité et de l’audit des SI à :
 La gouvernance affectée par le cloud
• Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité
opérationnelle.
• Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation
suite au passage dans le cloud qui pourraient affecter l'organisation.
 La conformité contractuelle entre le fournisseur de service et le client
• Principalement les accords sur les niveaux de service
 L’évaluation des fournisseurs de services en Cloud et du contenu des
contrats
• Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des
fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité,
l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de
l'informatique dans le cloud.
46
Audit des SI en cloud : Les défis de
l'audit
 L’auditeur des systèmes d’informations doit donc identifier les nouveaux
aspects affectés par le cloud et affectant le cloud et rechercher des
solutions pour obtenir des résultats similaires à ce qu’il attend des
environnements des centres de données traditionnels
Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles
aller ?
La réponse dépendra des défis relevés et de l’appétence au risque de
l’organisation.
47
Audit des SI en cloud : les défis de l'audit
 Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une
assurance raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est
compliqué par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur
de l’entité auditée et l’environnement de contrôle des fournisseurs du cloud reste imprévisible
et moins sûr !
 Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage
des responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est
important que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils
administrent directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en
place
 Manque de contrôle directe et de visibilité : Dans un environnement traditionnel,
l’auditeur ne remet généralement pas en cause
 les techniques de contrôle (qui fait quoi et comment)
 et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à
cause de la mobilité des données et des accès : les données peuvent théoriquement se
trouver n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance
ou stockées sur des points d’extrémité mobiles
48
Audit des SI en cloud : les défis de l'audit
 Forte dépendance par rapport aux fournisseurs de service et manque
de transparence :
 Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité
stricts et efficaces qui garantissent aux clients que leurs informations sont réellement
protégées contre les accès, les modifications et les destructions non autorisés.
 Les fournisseurs doivent montrer qu’ils ont de solides seuils d’alerte en place.
 Mais l’audit direct des fournisseurs de services n’est pas toujours pratique, voire
possible.
49
Audit des SI en cloud : les défis de l'audit
 Les prestataires de cloud sortent difficilement de leurs contrats-type
surtout pour le cloud public. D’ailleurs , les contrats portant sur les services cloud
sont jugés par les entreprises comme étant complexes et trop en faveur des
prestataires.
 Il n’est pas sûr que l’auditeur puisse trouver les réponses aux questions suivantes et puisse
les valider :
 Quels collaborateurs (du fournisseur) ont accès aux informations du client ?
 Les responsabilités des différents collaborateurs du fournisseur sont-elles bien
cloisonnées?
 Comment les informations des différents clients sont-elles séparées ?
 Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en
temps opportun ?
 Est-ce que des contrôles de confidentialité sont en place ?
 Est-ce que des voies de communication et d’information sécurisées sont en place et
validées avant la fourniture des services ? Sont elles testées périodiquement ?
Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de
négociations. Le RGPD peut notamment aider à inverser le rapport de force.
50
Audit des SI en cloud : les défis de l'audit
 Outils de découverte , de diagnostic et d’investigation : Les
traditionnels outils de supervision et d’audit à base d’agents ne
s’étendent pas automatiquement aux services Cloud ni aux
équipements mobiles et l’auditeur doit élargir ses investigations (
nouveaux outils , nouvelles méthodes de tests) pour s’assurer encore
plus de la sécurité des données
 Augmentation de la quantité de travail: Les risques du cloud
diffèrent en fonction du type de cloud ( Saas, IaaS, Public, Privé,…) ;
L’auditeur doit Identifier et évaluer les risques inhérents au type de
cloud utilisé et étendre aux risques qui doivent être considérés dans
toute l'entreprise.
 Nécessité de développement de compétences techniques et
juridiques supplémentaires: Les auditeurs des TI doivent obtenir une
compréhension des technologies du Cloud et connaitre les principaux
risques par type de cloud pour effectuer une évaluation efficace des
risques; ils doivent en outre avoir une maitrise juridique permettant de
neutraliser les inconvénients des contrats de cloud.
51
Audit des SI en cloud : les défis de l'audit
52
Audit des SI en cloud : les défis de l'audit
De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de
réglementations et de normes.
La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la
conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud.
Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de
protection des données personnelles
Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et
d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations
 Difficultés de vérification de la conformité :
 Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique
et qu’elles soient difficiles à localiser et à récupérer.
 Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient
fournies sans compromettre d’autres informations.
 L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses
informations lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de
refuser les informations aux autorités.
 Des données sensibles sont également stockées sur des smartphones, des tablettes PC et
d’autres équipements mobiles.
53
Audit des SI en cloud : les défis de l'audit
 Difficulté de vérification de la conformité à cause de la circulation
internationale des informations—
 La particularité du service cloud est de se déployer dans un espace sans
frontière ce qui met en relation des clients et des fournisseurs de différents
pays du monde.
 Lorsque le fournisseur de service cloud est installé ou représenté dans un
pays c’est la législation du pays hôte qui s’applique.
 Dans chaque pays, la teneur des lois qui réglementent les informations
d’identification personnelle est très variable.
 L’emplacement physique détermine la juridiction et les obligations légales en
vigueur.
 Lorsque les données peuvent être stockées n’importe où dans le nuage, leur
emplacement physique peut poser problème.
L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux
lois et règlementations car ce qui est permis dans un pays peut
constituer une infraction dans un autre.
54
Connaissances et Compétences
minimales des auditeurs
Des référentiels solides sur les TI et les risques peuvent aider
l’auditeur à effectuer une évaluation efficace des risques
 Modèle de gouvernance informatique
 Intégration avec les systèmes informatiques internes
 Connectivité réseau / bande passante
 Emplacement des données
 Location partagée
 Stabilité, fiabilité et viabilité du fournisseur de services cloud
 Portabilité du service
 Aspects juridiques et de conformité réglementaire (y compris les licences,
Arrangements contractuels)
 Gestion de la sécurité de l'information (y compris IAM)
 Réponse aux incidents et gestion de crise
 Gestion de la continuité des activités et planification de la reprise après sinistre
 Archivage et suppression des données
 Audit (Pentest, screening, monitoring, ...)
55
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Le CloudAudit est un
important sous-groupe
de l’Alliance
CSA qui développe
une interface de
programmation
d’applications pour
automatiser l’audit,
l’évaluation et la
garantie des données
et des applications
dans le cloud.
56
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
 Cloud Control Matrix : l’analyse des risques pour le Cloud
 La Cloud Control Matrix se positionne comme un outil efficace pour
donner un premier niveau d’information et permettre d’évaluer les
risques de sécurité d’un service Cloud.
 La Cloud Control Matrix ou CCM est une liste de contrôles sécurité
orientés Cloud, mise à disposition sur le site de la Cloud Security
Alliance, qui permet de jeter les premières fondations de l’analyse
de risque d’un service Cloud.
 Chaque contrôle est croisé avec d’autres normes ou standards de
sécurité déjà utilisés dans le monde industriel, comme l’ISO
27001/27002, COBIT, PCI DSS …
 La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud
pour auto-évaluer leur niveau de sécurité mais peut être utilisée par
l’auditeur pour faire une analyse des écarts
57
ISACA , Cobit et le Cloud
 Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou
ITAF™) contient des indications (section 3630.6) sur l’externalisation
et les activités confiées à des tiers qui renvoient également à d’autres
référentiels comme le COBIT® (PO4, PO7, PO8, PO9, AI2 et AI5) et
les IT Audit and Assurance Guidelines G4, G18, G32 et G37 de
l’ISACA. Ces documents fournissent une aide technique utile pour
l’exécution d’un audit de TI dans le Cloud
 COBIT 5 est un ensemble complet de ressources qui contient toutes
les informations dont une organisation a besoin pour adopter un cadre
de gouvernance et de contrôle informatique.
 COBIT 5 est utile en matière de gouvernance et de gestion des
investissements IT complexes tels que les services IT dans le cloud
computing.
 COBIT 5 permet une meilleure gouvernance et gestion du cloud. Il
permet de mettre en place des pratiques cohérentes pour contribuer à
maximiser la valeur et à maîtriser le risque de l’utilisation du cloud
58
Cobit 5 et Gouvernance du Cloud
 Gouvernance
 Gouvernance des services informatiques dans le cloud
 Management des risques de l’entreprise
 Gestion des services offerts par un tiers
 Conformité et Obligations Contractuelles
 Conformité légale
 Droit à l’audit
 Auditabilité
 Périmètre de conformité
 Certifications
 Planification de la transition de service
59
Cobit 5 et Gestion du Cloud
 Management et Operations
 Notification d’incidents, réponses et mesures correctives
 Sécurité de l’application
 Conformité
 Outils et Services
 Fonctionnalités de l'application
 Intégrité et Sécurité des données
 Gestion des clés
 Gestion des accès et des identités
 Virtualisation
 Standards et bonnes pratiques
60
Opérations/ Recommandations d’audit
pour les clients du Cloud
 Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de
gouvernance claire et un plan de gestion doivent être élaborés.
 La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein
de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :
 les contraintes légales , pratiques et techniques doivent être identifiées
 les données, traitements ou services qui pourraient être hébergés dans le
Cloud doivent être clairement identifiés.
 Étant donné les risques potentiels, il est important de mettre en place un programme
de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre
une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien
protégée.
 Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de
communication , matrices des rôles et responsabilités
 Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le
contrat précise les domaines dans lesquels le fournisseur de cloud est responsable,
y compris pour les conséquences d’un éventuel problème ; des engagements de
transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans
les contrats de prestation de services.
61
Opérations/ Recommandations d’audit
pour les clients et fournisseurs du Cloud
 Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre
qui s’étend bien au delà des limites traditionnelles, les professionnels de la
sécurité doivent utiliser des contrôles de sécurité éprouvés au niveau des
données elles mêmes, et ce, où qu’elles se trouvent, car il s’agit du moyen le plus
efficace pour protéger les données sensibles et atteindre les objectifs de
conformité.
 Le recours et la conformité à des normes et à des cadres de référence permet
aux entreprises et aux auditeurs de vérifier la qualité des mesures de sécurité et
des contrôles internes de leur fournisseur de cloud
 ISO 27002, ISO 27017 , ISO 27018
 Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils
agissent dans les règles en présentant des garanties indépendantes provenant
d’audits de tiers ( certifications ISO 27001 , ISO 22301 , ISO 20000, PCIDSS,
HIPAA, SOX, SOC1/SAS 70, SOC2 (La reconnaissance du niveau de sécurité du
Cloud ))
 OVH est ISO27001 , SOC1 et SOC 2
 Les services cloud Microsoft respectent les normes SOC (Service
Organization Controls) en matière de sécurité opérationnelle.
62
Opérations/ Recommandations d’audit
pour les clients et fournisseurs du Cloud
 Les fournisseurs doivent disposer d’un contrat
d’assurance et doivent communiquer les attestations
correspondantes à leurs clients. Ils doivent offrir les
garanties en matière de protection des données
personnelles
 Il est nécessaire de réaliser périodiquement une
évaluation des services en Cloud en fonction de
l’évolution dans le temps du contexte, des risques, des
solutions disponibles sur le marché, de la législation, etc
63
Rapport établi par des instituts européens d’audit interne
 Ce rapport liste les sujets incontournables qui reflètent les
domaines de risques auxquels les responsables de l’audit
interne donnent la priorité alors qu’ils préparent leurs plans
d’audit pour 2018 et procèdent aux évaluations des risques à
plus long terme.
 Ce rapport montre l’impact fondamental des technologies qui
déterminent, facilitent et bouleversent les opérations et les
stratégies des organisations.
 Ce rapport est une pression qui incite les auditeurs internes à
acquérir de nouvelles compétences et à adopter des outils
innovants afin de renforcer leurs capacités dans un monde de
plus en plus numérique.
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES
DE L’AUDIT INTERNE EN 2018
64
Rapport établi par des instituts européens d’audit interne
 Les domaines de risque par ordre d’identification commune
 RGPD : l’enjeu de la protection des données
 Cybersécurité : le chemin de la maturité
 Complexité réglementaire et incertitude
 Rythme de l’innovation
 Incertitude politique : BREXIT et autres inconnues
 Risques liés aux fournisseurs et maîtrise de la
relation avec les tiers
 La problématique de la culture
 Capital humain : se projeter vers le futur
 Transformer la fonction d’audit interne
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES
DE L’AUDIT INTERNE EN 2018
65
Merci !
+216 94 70 77 37
+ 33 6 65 24 89 25
sonia.kallel@bit.tn
www.bit.tn

Contenu connexe

Tendances

La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...Capgemini
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFPierre-Xavier Fouillé
 
Cloud Native Applications Maturity Model
Cloud Native Applications Maturity ModelCloud Native Applications Maturity Model
Cloud Native Applications Maturity ModelJim Bugwadia
 
Cyber Security Governance
Cyber Security GovernanceCyber Security Governance
Cyber Security GovernancePriyanka Aash
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Les etapes de la migration vers le cloud hybride
Les etapes de la migration vers le cloud hybrideLes etapes de la migration vers le cloud hybride
Les etapes de la migration vers le cloud hybrideSylvain FRANCESCHI
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Cloud Computing Risk Management (IIA Webinar)
Cloud Computing Risk Management (IIA Webinar)Cloud Computing Risk Management (IIA Webinar)
Cloud Computing Risk Management (IIA Webinar)Brian K. Dickard
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Security-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureSecurity-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureThe Open Group SA
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
Emerging Trends in Hybrid-Cloud & Multi-Cloud Strategies
Emerging Trends in Hybrid-Cloud & Multi-Cloud StrategiesEmerging Trends in Hybrid-Cloud & Multi-Cloud Strategies
Emerging Trends in Hybrid-Cloud & Multi-Cloud StrategiesChaitanya Atreya
 
Data Center Consolidation
Data Center ConsolidationData Center Consolidation
Data Center ConsolidationBarry Weber
 

Tendances (20)

Best Practices for Planning your Datacenter
Best Practices for Planning your DatacenterBest Practices for Planning your Datacenter
Best Practices for Planning your Datacenter
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...
Data Center Consolidation and Optimization By Magnus Manders, CTO of Infrastr...
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAF
 
Cloud Native Applications Maturity Model
Cloud Native Applications Maturity ModelCloud Native Applications Maturity Model
Cloud Native Applications Maturity Model
 
Cyber Security Governance
Cyber Security GovernanceCyber Security Governance
Cyber Security Governance
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
Les etapes de la migration vers le cloud hybride
Les etapes de la migration vers le cloud hybrideLes etapes de la migration vers le cloud hybride
Les etapes de la migration vers le cloud hybride
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Cloud Computing Risk Management (IIA Webinar)
Cloud Computing Risk Management (IIA Webinar)Cloud Computing Risk Management (IIA Webinar)
Cloud Computing Risk Management (IIA Webinar)
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
Security-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureSecurity-by-Design in Enterprise Architecture
Security-by-Design in Enterprise Architecture
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
Emerging Trends in Hybrid-Cloud & Multi-Cloud Strategies
Emerging Trends in Hybrid-Cloud & Multi-Cloud StrategiesEmerging Trends in Hybrid-Cloud & Multi-Cloud Strategies
Emerging Trends in Hybrid-Cloud & Multi-Cloud Strategies
 
Data Center Consolidation
Data Center ConsolidationData Center Consolidation
Data Center Consolidation
 

Similaire à Auditer les infrastructures cloud : risques et défis

Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesMicrosoft Ideas
 
Applications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprisesApplications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprisesGFI Portugal
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentauxNuageo
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015COMPETITIC
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des donnéessmiste
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Christophe Monnier
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1AIR-LYNX
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entrepriseCOMPETITIC
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...CERTyou Formation
 
Livre Blanc
Livre Blanc Livre Blanc
Livre Blanc abir.rzg
 
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...COMPETITIC
 
Mythes et réalités du cloud computing
Mythes et réalités du cloud computingMythes et réalités du cloud computing
Mythes et réalités du cloud computingMicrosoft Ideas
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCERTyou Formation
 
L'entreprise et la Réingénierie Informatique dans le Cloud Computing
L'entreprise et la Réingénierie Informatique dans le Cloud ComputingL'entreprise et la Réingénierie Informatique dans le Cloud Computing
L'entreprise et la Réingénierie Informatique dans le Cloud ComputingNounou Alioui
 

Similaire à Auditer les infrastructures cloud : risques et défis (20)

Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
Applications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprisesApplications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprises
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
DSI LIBERE #1
DSI LIBERE #1DSI LIBERE #1
DSI LIBERE #1
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entreprise
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
 
Ebauche livre-blanc
Ebauche livre-blancEbauche livre-blanc
Ebauche livre-blanc
 
Livre Blanc
Livre Blanc Livre Blanc
Livre Blanc
 
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
 
Le cloud Compting
Le cloud ComptingLe cloud Compting
Le cloud Compting
 
Mythes et réalités du cloud computing
Mythes et réalités du cloud computingMythes et réalités du cloud computing
Mythes et réalités du cloud computing
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exin
 
L'entreprise et la Réingénierie Informatique dans le Cloud Computing
L'entreprise et la Réingénierie Informatique dans le Cloud ComputingL'entreprise et la Réingénierie Informatique dans le Cloud Computing
L'entreprise et la Réingénierie Informatique dans le Cloud Computing
 
Rational cloud
Rational cloudRational cloud
Rational cloud
 

Plus de PECB

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityPECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernancePECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyPECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationPECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsPECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptxPECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxPECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemPECB
 

Plus de PECB (20)

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management system
 

Dernier

PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfPIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfRiDaHAziz
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxJCAC
 
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...NaimDoumissi
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 37
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film françaisTxaruka
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfbdp12
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxMartin M Flynn
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfSylvianeBachy
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx   Peintre françaisBernard Réquichot.pptx   Peintre français
Bernard Réquichot.pptx Peintre françaisTxaruka
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfRiDaHAziz
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursStagiaireLearningmat
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film françaisTxaruka
 
Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Gabriel Gay-Para
 
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 37
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneTxaruka
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 37
 

Dernier (18)

PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfPIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdf
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
 
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film français
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx   Peintre françaisBernard Réquichot.pptx   Peintre français
Bernard Réquichot.pptx Peintre français
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdf
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceurs
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film français
 
Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)
 
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienne
 
Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
 

Auditer les infrastructures cloud : risques et défis

  • 1. Auditer les infrastructures cloud : risques et défis Sonia KALLEL Consultante en Gouvernance et Management des Systèmes d’Information Business and Information Technology – Tunisia Conférence PECB INSIGHTS Paris – 24-26 Octobre 2018
  • 2. 2 PROBLEMATIQUE  L’audit est une bonne pratique et un outil de gouvernance et c’est un moyen d’amélioration continue.  L’audit permet de vérifier la conformité des système d'information et de leurs responsables aux exigences techniques , légales, règlementaires , contractuelles et statutaires et aux normes de réussite financière de l'entreprise face à diverses menaces.  Ces objectifs restent toujours valables et même plus pertinents dans le nouveau modèle IT en cloud pour notamment assurer la protection des données mais ils nécessitent une adaptation car le Cloud perturbe la prévisibilité associée aux architectures informatiques traditionnelles, aux contrôles de sécurité et aux procédures d'audit habituelles et pose de nouveaux défis aux professionnels de l'audit.  Dans cette présentation, nous allons parler des risques potentiels propres aux infrastructures du cloud et aux défis vécus par les auditeurs, présenter des approches d'audit spécifiques au Cloud et lister quelques recommandations d’audit pour garantir de meilleures gouvernance et gestion du cloud.
  • 3. 3 Quelques définitions ….  Le Cloud Computing ou encore Cloud ou l’informatique dans les nuages, n’est pas une nouvelle technologie, mais c’est une nouvelle façon de délivrer les ressources informatiques et les services qui dérive du modèle d’outsourcing.  Le cloud computing est considéré comme un changement significatif de la plate-forme dans laquelle les services métier sont traduits, utilisés et gérés. Beaucoup considèrent qu'il s'agit d'un changement informatique aussi important que l'avènement de l'ordinateur personnel (PC) ou de l'accès à Internet.  Plusieurs définitions ont été avancées pour décrire le cloud computing mais d’une façon générale « L’informatique dans les nuages est un modèle permettant d’établir un accès par l’internet ou des réseaux privés à un réservoir partagé de ressources informatiques configurables (réseau, serveurs, stockage, applications ) et de services qui peuvent être rapidement mobilisés et mis à disposition en minimisant les efforts de gestion ou les contacts avec le fournisseur de service et en permettant l’attribution des services à la demande et le paiement en fonction de l’utilisation»
  • 4. 4
  • 5. 5 Caractéristiques Essentielles du Cloud Computing  Le Cloud consiste à mutualiser des ressources informatiques entre plusieurs utilisateurs;  Il permet au client d’accéder à son espace loué par un réseau de type Internet sans préoccupation matérielle ni logicielle;  L’accès aux ressources se fait en libre service et à la demande, à des conditions contractuelles déterminées à l’avance en terme de performance, de sécurité, de coût;  L’avantage de l’accès « à la demande » : un prix adapté à la consommation réelle du client utilisateur et une optimisation de la consommation (élasticité en fonction du volume des besoins à un moment précis);  Le cloud offre des moyens et outils pour gérer , superviser, contrôler et générer des rapports sur l’utilisation.
  • 6. 6 Trois principaux types de services Cloud IaaS: infrastructure as a Service : Le fournisseur de Cloud fournit l’infrastructure hébergée (l’espace de stockage, les serveurs,…) qui fera fonctionner la plate forme et les applications de l’entreprise, pendant que l’entreprise contrôle le système d’exploitation et les applications installées. Amazon EC2, Windows AzurePaaS : Platform as a Service : Le fournisseur de Cloud fournit la totalité de l’environnement fonctionnel de la plateforme. Il ajoute une couche sur l’IaaS en fournissant la capacité de déployer des applications sur une infrastructure en nuage. Il ne reste plus à l’entreprise qu’à maintenir ses applications. Windows Azure, Google App Engine, SaaS : Software as a Service : le fournisseur de Cloud fournit, en plus de tout le reste, les applications des entreprises (CRM, Messagerie, ERP…). L’entreprise a seulement le rôle du client/utilisateur Google Apps, Microsoft Office 365.
  • 8. 8 Les modèles de déploiement du Cloud
  • 12. 12 Accès au Cloud  le client loue un droit d’accès et d’utilisation du système informatique auprès du fournisseur.  Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même l’infrastructure informatique nécessaire, les licences d’utilisation de progiciels etc.
  • 13. 13 Les Entreprises et le Cloud  Parmi les multiples évolutions de l’informatique, des modèles d’organisation et d’exploitation des technologies , on parle du Cloud Computing .  L’épanouissement du cloud a bénéficié de la convergence de plusieurs phénomènes dont,  l’extension considérable et la multiplication de la puissance des équipements informatique,  la numérisation/digitalisation  la virtualisation ( base du cloud)  la prolifération et la diversification des logiciels et  la transformation du mode d’usage ou de consommation des entreprises et des particuliers (Internet, e-services)  Pour rester compétitives et bénéficier d’une plus grande agilité d’organisation et de prise de décision, les entreprises tirent profit aujourd’hui des multiples possibilités offertes par le Cloud à travers le réseau internet.
  • 14. 14 Pourquoi partir dans le cloud ?  Les stratégies de cloud améliorent l’efficacité et la flexibilité de l’entreprise,  Le cloud permet d’offrir des services plus innovants et compétitifs,  Le cloud réduit les coûts globaux d’exploitation. Comme tout investissement, les projets de cloud doivent être conduits par le conseil d’administration/ haute direction afin de garantir la création de valeur et l’optimisation du risque !!!  C'est une décision stratégique basée sur l’évaluation des avantages plutôt qu'une décision purement technologique  Il s’agit de remplacer les actions classiques de configuration, de mise en œuvre et de maintenance des applications internes par la mise en œuvre d’une stratégie pour le cloud qui satisfait les besoins de l'entreprise
  • 15. 15 Avantages du Cloud  Gagner un avantage concurrentiel et pénétrer de nouveaux marchés,  Dans certains pays , gagner un avantage fiscal qui permet de réduire les impôts sur le résultat  Accroître la productivité et réduire la propriété et la maintenance du matériel et des logiciels, ce qui permet aux organisations de se concentrer sur leurs stratégies et leurs points forts et de gagner sur le coût de la redondance  Améliorer les produits et services existants, fidéliser les clients actuels et ramener de nouveaux clients  Développer des produits et services impossibles à élaborer sans les services du cloud et s’affranchir des barrières géographiques.  Répondre au besoin de mobilité et d’accès à distance  Ne plus s’occuper de la gestion du centre de données ni du stockage
  • 16. 16 Avantages du Cloud  Consommer moins d'énergie et contribuer au green IT  Mettre en place et mettre à niveau une infrastructure informatique même en cas de budget informatique limité  Minimiser les durées de mise en place de l'infrastructure informatique en profitant des techniques et des avantages de la virtualisation et du savoir faire des fournisseurs de cloud  Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer les demandes de pointe en investissant dans du matériel et des logiciels supplémentaires sous-utilisés dans les périodes creuses.  Réaliser des économies potentiellement importantes en permettant aux entreprises de maximiser l'informatique dynamique sur une base de paiement à l'utilisation (éviter les frais fixes et payer par utilisateur/par transaction)  Aligner rapidement la technologie de l’information sur les stratégies commerciales grâce à ce provisionnement à la demande
  • 17. 17 Utilisation du Cloud dans le monde
  • 18. 18 Grâce au Cloud, Les données sont désormais accessibles partout et à tous, sans limitation de moyen et de stockage et ceci à moindre frais. Elles deviennent encore plus importantes et représentent un véritable gisement de valeur pour les entreprises. !!! Le déplacement des données, systèmes et services vers le cloud expose les entreprises à de grands risques/ défis en matière de sécurité , d’audit et de conformité. Est-ce que l’accroissement des risques ne va pas peser plus lourd que les résultats positifs du cloud , même s’ils sont bien réels ? Quelle assurance y a t-il que les plans du management vont permettre d’obtenir ces résultats ? Comment le monde de la sécurité, de l’audit et de la conformité des systèmes d’information doit évoluer dans les environnements Cloud ?
  • 19. 19 Risques et Défis de mise en oeuvre du Cloud  Le cloud change la nature de certains risques qui existaient déjà dans un environnement traditionnel mais qui peuvent augmenter ou diminuer suite au passage dans le cloud  Le cloud conduit aussi à de nouveaux risques , tant du côté du client que du côté du fournisseur, car il bouleverse la prédictibilité associée aux architectures informatiques traditionnelles , aux contrôles de sécurité et aux procédures d’audit habituelles –  Le Cloud pose ainsi de nouveaux défis aux professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information qui sont chargés de protéger les données de l’entreprise ainsi que les ressources informatiques tout en s’assurant de la conformité des mesures de sécurité.
  • 20. 20 Risques Associés au Cloud  Les risques du Cloud sont associés à plusieurs facteurs dont :  la technologie et les contrôles de sécurité;  les contraintes légales , règlementaires et contractuelles;  le modèle de déploiement et la répartition des tâches avec les tierces parties;  le processus d’achat et son impact sur la gouvernance  Les risques changent en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du mode de déploiement - public ou privé et dépendent des menaces et des vulnérabilités de l’environnement –  La sécurité des actifs et la protection des données sensibles sont souvent vues comme des questions cruciales, voire des obstacles à l’adoption de services d’informatique en nuage.  Hormis les risques liés à la technologie et à la sécurité, il existe également un grand nombre d'autres problèmes à prendre en compte lors de la transition vers le nuage, tels que les problèmes réglementaires, juridiques et liés à la conformité.
  • 21. 21 La sécurité technique éternel défi
  • 22. 22 La sécurité technique éternel défi
  • 24. 24 Risques Associés à la Sécurité Technique  Processus de gestion des accès peut être défectueux ou vulnérable (infrastructure et application, cloud public) : Accès à des données non autorisées et Visibilité de certains actifs (par exemple, les tables de routage, les adresses MAC, les adresses IP internes, le trafic LAN) par d'autres entités dans le même cloud et leur utilisation d’une manière malveillante.  Allocation dynamique des ressources: Visibilité de données sensibles aux autres locataires . Cela fait référence aux données qui sont stockées dans l'espace mémoire ou l'espace disque et qui peuvent être récupérées par d'autres entités partageant le cloud ( concurrents)  Présence de vulnérabilités techniques au niveau des hyperviseurs, des navigateurs , des applications et des services web : Les infrastructures Cloud sont la cible d’attaques par des pirates et malveillants profitant de ces vulnérabilités pour rendre indisponibles les systèmes et / ou réduire la protection des données – un pirate qui parvient à identifier une seule vulnérabilité peut compromettre un grand nombre de systèmes  Le réseau INTERNET n’est pas sécurisé : exposition des utilisateurs du cloud public à la possibilité de cyber attaques et de violation de sécurité des données.  Interface de gestion de la virtualisation non sécurisée / Défaut de bonne isolation
  • 25. 25 Risques Associés à la Sécurité Organisationnelle  Non alignement de la stratégie de sécurité du fournisseur sur la stratégie de sécurité de l'entreprise : les contrôles de sécurité mis en place par le fournisseur pour prévenir les attaques ou manquements de sécurité doivent respecter les politiques de sécurité de l’entreprise cliente. – Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer que les applications utilisées répondent à ses exigences de sécurité pour réduire le risque de divulgation et d’altération. – Exemple : Les Clouds communautaires partagent des ressources entre différentes entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain niveau de confiance mutuelle. Cette confiance doit être régulée plus faible» du groupe pourrait mettre en danger toutes les entités du groupe par une politique de sécurité commune. Sinon, une attaque sur le «maillon le plus faible va toucher toute la communauté. – Exemple : Les données sont disséminées partout et nécessitent une protection supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin supplémentaire de cryptage , un besoin supplémentaire de gestion des identités et des informations d’identification et une nécessité de Journalisation
  • 26. 26 Risques Associés à la Sécurité Organisationnelle  Mauvaise Gestion de la fin de service : Perte de disponibilité ou reprise partielle / perte de données ou difficulté de récupérer toutes ses données dans le délai spécifié  En cas de migration de l'entreprise d'un fournisseur de services vers un autre ou le retour en interne des services  En cas d’échec ou de faillite du fournisseur , ou de crise de confiance dans la situation financière du fournisseur ou s’il fait face à une action en justice ou s’il est la cible potentielle d'une acquisition avec la probabilité de changements soudains dans ses politiques et les accords mis en place.  Non disponibilité des compétences nécessaires : pour soutenir et sécuriser les solutions de cloud  Résistance Culturelle et IT à l’adoption du cloud : source de nonchalance et parfois de malveillance qui entraine la perte des données ou l’arrêt des services
  • 27. 27 Risques Associés à la Conformité  Situations de non respect de la conformité 1- Les données, systèmes et services échappent de plus en plus au contrôle des services informatiques centralisés, ce qui représente un risque considérable pour la sécurité des données sensibles et peut nuire à la capacité de l’entreprise à maintenir sa conformité aux réglementations sectorielles et aux stratégies de sécurité internes. 2- Les services achetés individuellement ( et éventuellement sans vérification profonde au préalable) peuvent entrer en conflit avec l’existant et menacer la conformité technique du client avec les stratégies technologiques en place et même sa conformité avec les réglementations légales et règlementaires (portabilité et protection des données, copyright , application des lois, responsabilité,..) 3- L'emplacement de l'installation de traitement peut changer en fonction de l'équilibrage de la charge : Si le fournisseur Cloud ne peut pas assurer à son client l'endroit où les données sont hébergées , ceci peut toucher à sa conformité à certaines exigences légales et règlementaires.
  • 28. 28 Risques Associés à la Conformité 4- Insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si les données du client sont transférées à l’étranger, et plus précisément à destination de quels pays entraine le risque de non respect de la confidentialité des flux transfrontalier d'informations personnelles identifiables (PII) • augmente la complexité de la vérification de la conformité • et rend plus difficile le respect des directives et lois sur la vie privée et sur la protection des données et l'entreprise peut faire l'objet de poursuites et d'amendes pour non-conformité. 5- Non-conformité du fournisseur : entraine la non-conformité du client car le client doit imposer à son fournisseur toutes les exigences légales ou réglementaires qui s'appliquent à lui
  • 29. 29
  • 30. 30 Risques Associés à la Cohabitation/Colocation Accès ( physique ou logique) d’un tiers à des informations sensibles (éléments de propriété intellectuelle, secrets commerciaux, données de santé) : risque de compromettre la confidentialité. Partage physique et logique des locaux et des équipements : le risque de mélanger des données sensibles du client avec les données d’autres clients du cloud, notamment celles des concurrents et de compromettre la confidentialité,  L’exécution des audits réguliers de sécurité et des investigations afin d'évaluer les mesures de sécurité du fournisseur : risque de violer les obligations contractuelles des fournisseurs envers leurs autres clients. En effet, ces actions nécessitent un accès étendu aux capacités d'infrastructure et de surveillance du fournisseur , qui sont souvent partagées avec ses autres clients et peuvent compromettre la sécurité des données de ses derniers.
  • 31. 31 Risques Associés à la Sous- traitance/Externalisation  La dépendance au fournisseur : entraine des problèmes de disponibilité et de qualité des services et des données. La renommée, l’historique et la viabilité des fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des garanties suffisantes.  Choix du fournisseur : Les entreprises doivent pouvoir choisir un fournisseur de services de cloud capable de satisfaire aux exigences en matière de conformité et d'offrir des preuves irréfutables de sa conformité (certifications par des auditeurs tierce partie)  Résistance des fournisseurs aux audits  Modèle standard de sécurité du fournisseur : Les infrastructures de Cloud ont généralement une architecture de sécurité unique avec des modèles et standards de sécurité non encore matures alors que les clients peuvent avoir des demandes différentes.  Manque de contrôle des versions SaaS en mode Public
  • 32. 32 Risques Associés à la Sous- traitance/Externalisation  Manque de contrôle directe et de visibilité - Il est probable que l’entreprise ait peu de connaissances ou de « visibilité » sur les personnes, les processus et la technologie soutenant ses actifs informationnels dans le cloud. - Les entreprises peuvent/doivent abandonner voire déléguer le contrôle directe de tout système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs de services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur la protection de la vie privée et par rapport aux responsabilités (Qui est responsable et de quoi en cas de brèche de sécurité ) • Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à des lois différentes dans les pays d'accueil et qui peuvent mettre les données en danger surtout que avec l’ambiguité légale et règlementaire , la jurisprudence est très mince concernant les responsabilités en matière de cloud • Le fournisseur de cloud prend souvent la responsabilité de la manipulation des informations, un des actifs primordiaux de l’entreprise. S’il n’est pas capable d’assumer les niveaux de services établis, la confidentialité , la disponibilité et l’intégrité risquent d’être compromises, ce qui perturbe gravement les opérations de l’entreprise.
  • 33. 33 Risques Associés à la Sous- traitance/Externalisation  Propriété de l’actif : Passer au cloud implique que les actifs informationnels de l’entreprise pourraient être « gérés » par le fournisseur.  Tout actif informationnel (données, application ou processus) migré vers un fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction des conditions du contrat.  Ainsi, l'entreprise peut perdre des données sensibles ou peut les voir divulguées parce que l'entreprise n'est plus le seul propriétaire légal de l'actif. En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par contrat) à payer des frais pour récupérer ses propres actifs. En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner une confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est nécessaire de récupérer des informations, cela peut générer des retards En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide d'outils assurant un effacement complet pour empêcher la divulgation
  • 34. 34 Risques Associés au Processus d’Achat  L’entreprise devient vulnérable et perd sa gouvernance si elle ne met pas en place une gestion et une maintenance plus transparentes et vérifiables. Situation : • Les entreprises, en particulier lorsque elles sont confrontées à des délais urgents qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent être mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs de services en cloud. • Facilité d’accroître la capacité ou de demander des services supplémentaires via un simple appel téléphonique. Conséquences : • Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en place des services sans passer par les processus d’approvisionnement nécessaires à une bonne gouvernance. • Il est également possible d’outrepasser les autorisations relatives au budget, les processus de vérification des changements, les contrôles de protection de l’information et d’autres processus de supervision, ce qui peut empêcher de se conformer aux règles internes.
  • 35. 35 Risques Associés aux contrats La conciliation entre les avantages qu’offre le cloud computing et les inconvénients qu’il représente réside dans la relation formée entre le client et le prestataire et l’équilibre contractuel entre les deux.  Risque de Non maitrise du contenu des contrats et SLA  Qui est le Propriétaire des données ?  Que se passe-t-il à la fin du contrat?  Performance (Temps de réponse)  Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont elles lisibles?  Déclassement de matériel  Clause d’Audit  CAPEX vs OPEX (coûts fixes vs coûts variables)  Les modes de facturation proposés sont parfois « flou », et dépendent de plusieurs paramètres : volumétrie, le coût de production ou de mise à disposition, et enfin le tarif locatif du service.  En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le fournisseur (propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se retrouver lié par ses clauses qui ne lui laissent pas la possibilité de négocier.  En Cloud Privé : les organismes spécialisés et les entreprises grands comptes établissent avec le fournisseur un contrat personnalisé qui offre des services adaptés à leurs besoins et qui prévient les risques et évite les inconvénients qui peuvent résulter du service offert.
  • 36. 36 Contrat du Cloud  Un contrat Cloud doit contenir un minimum de clauses qui assurent au client  un recours juridique plus efficace en cas de promesses non tenues ou de difficultés dans l’exécution  L’interdiction de la cession du contrat par le fournisseur sans justifications et préavis  La connaissance et l’acceptation par le client de la chaîne des intervenants  Un droit de sortie du contrat sans pénalités en cas de changement de majorité ou de contrôle du fournisseur  Que les données à caractère personnel restent dans le pays du client ( le cas échéant)  Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur  Un droit de restitution ou de destruction des données sans délai supplémentaire et la connaissance de la procédure de restitution des données (délai, format de restitution, coût etc. à la fin du contrat
  • 37. 37 Risques du Cloud : Facteur du risque et Conséquences en IaaS Facteur Indisponibilité Perte/Vol Divulgation Évolutivité /élasticité X Decreasing Récupération après sinistre et sauvegarde X X Decreasing Gestion des patchs X X X Decreasing Exigences transfrontalières légales X Increasing Locations multiples et échec d'isolation X X Increasing Manque de visibilité entourant les mesures de sécurité techniques en place X X X Increasing Absence de Plan de Reprise après sinistre et de sauvegarde appropriés X X Increasing Sécurité Physique X X X Increasing Déplacement / élimination des données X Increasing Infrastructure de délocalisation X X X Increasing Maintenance de la sécurité des VM X X X Increasing Authentification du fournisseur de cloud X X X Increasing
  • 38. 38 Facteur Indisponibilité Perte/Vol Divulgation Temps de développement court X X X Decreasing Alignement des applications avec la plateforme du fournisseur X X X Increasing Vulnérabilités liées à l’architecture orientée services X X X Increasing Arrêt des applications en fin de service X X Increasing Risques du Cloud : Facteur du risque et conséquences en PaaS
  • 39. 39 Risques du Cloud : Facteur du risque et conséquences en SaaS Facteur Indisponibilité Perte/Vol Divulgation Sécurité améliorée X X X Decreasing Gestion des correctifs d'application X X Decreasing Propriété des données X X X Increasing Élimination des données X X Increasing Manque de visibilité dans le cycle de vie de développement SDLC X X X Increasing Gestion des identités et des accès ( IAM) X X Increasing Stratégie de sortie ou de retour en interne X X Increasing Plus large exposition des applications X X X Increasing Facilité de signature des contrats de type SaaS X X X Increasing Manque de contrôle sur le processus de mise en production X X Increasing Vulnérabilités liées au navigateur X X Increasing
  • 40. 40 Risques du Cloud : Facteur du risque et conséquences en Cloud Publique Facteur Indisponibilité Perte/Vol Divulgation Réputation publique X X X Decreasing Partage complet du nuage (mise en commun des données) X X X Increasing Dommage indirect X X X Increasing  Dans une infrastructure informatique en nuage public, le fournisseur d’informatique en nuage partage l’infrastructure et les ressources entre plusieurs entreprises et personnes non reliées entre elles.  Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure entière présenterait le risque de faire défaut, de se faire voler ou d’être saisie (pour des raisons d’enquête), ceci incluant les services utilisés par d’autres entreprises  Il est important lors du processus de décision de bien considérer quels actifs peuvent aller sur une infrastructure informatique en nuage publique et lesquels ne le peuvent pas.
  • 41. 41 Risques du Cloud : Facteur du risque et conséquences en Cloud Communautaire Facteur Indisponibilité Perte/Vol Divulgation Même groupe d'entités X X X Decreasing Accès dédié à la communauté X X X Decreasing Partage du nuage X X X Increasing  Dans l’informatique en nuage communautaire, les services sont déployés et utilisés par des clients qui nécessitent un environnement avec un niveau de « confiance » sensiblement équivalent.  Dans certains cas, les entités possèdent la même politique de sécurité (renforçant ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de stratégie ou de politique commune.
  • 42. 42 Risques du Cloud : Facteur du risque et conséquences en Cloud Privé Facteur Indisponibilité Perte/Vol Divulgation Peut être construit sur place X X X Decreasing Performance X X Decreasing Compatibilité de l'application X X Increasing Investissements requis peut être déclenché par le coût peut être déclenché par le coût peut être déclenché par le coût Increasing Compétences informatiques Cloud requises peut être déclenché par le coût peut être déclenché par le coût peut être déclenché par le coût Increasing Dans une informatique en nuage privée, les services sont déployés uniquement pour les services de l’entreprise. Aucune interaction de cette infrastructure avec d’autres entités n’est autorisée. L’informatique en nuage privée existe sur site ou hors site.
  • 43. 43 Risques du Cloud : Facteur du risque et conséquences en Cloud Hybride Facteur Indisponibilité Perte/Vol Divulgation Interdépendance du cloud X X X Increasing  L’informatique en nuage hybride est un modèle permettant à l’entreprise l’association du cloud publique, communautaire et privé, et ce dépendamment du niveau de confiance requis pour leurs actifs informationnels.
  • 44. 44 Audit des SI dans le cloud (bonne gouvernance) Audit fondé sur les risques  L’organisation doit avoir l’assurance que ses fournisseurs cloud peuvent livrer le service souhaité et que les contrôles pour adresser les risques – contrôles relatifs à la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et le caractère privé des données sont mis en place par le fournisseur et sont fonctionnels  Les auditeurs doivent rassurer les clients du cloud  Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le prolongement naturel de l’audit fondé sur les risques identifiés, en particulier lorsque les contrôles ne réduisent pas suffisamment les risques.  L’approche fondée sur les risques est aujourd’hui la plus répandue pour divers types d’audits ( ISACA, ISO 19011:2018)  L’approche fondée sur les risques est cependant compliquée par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
  • 45. 45 Audit des SI en cloud : Portée et Objectifs de l’audit  L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer les contrôles d’atténuation des risques et auditer les éléments à risque.  Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des lois et règlementations récentes en matière de sécurité et de protection des données ont étendu la portée et objectifs de la conformité et de l’audit des SI à :  La gouvernance affectée par le cloud • Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité opérationnelle. • Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation suite au passage dans le cloud qui pourraient affecter l'organisation.  La conformité contractuelle entre le fournisseur de service et le client • Principalement les accords sur les niveaux de service  L’évaluation des fournisseurs de services en Cloud et du contenu des contrats • Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité, l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de l'informatique dans le cloud.
  • 46. 46 Audit des SI en cloud : Les défis de l'audit  L’auditeur des systèmes d’informations doit donc identifier les nouveaux aspects affectés par le cloud et affectant le cloud et rechercher des solutions pour obtenir des résultats similaires à ce qu’il attend des environnements des centres de données traditionnels Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles aller ? La réponse dépendra des défis relevés et de l’appétence au risque de l’organisation.
  • 47. 47 Audit des SI en cloud : les défis de l'audit  Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et moins sûr !  Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place  Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne remet généralement pas en cause  les techniques de contrôle (qui fait quoi et comment)  et de visibilité ( maitrise de l’état des données, des applications et des accès) . Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause de la mobilité des données et des accès : les données peuvent théoriquement se trouver n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou stockées sur des points d’extrémité mobiles
  • 48. 48 Audit des SI en cloud : les défis de l'audit  Forte dépendance par rapport aux fournisseurs de service et manque de transparence :  Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité stricts et efficaces qui garantissent aux clients que leurs informations sont réellement protégées contre les accès, les modifications et les destructions non autorisés.  Les fournisseurs doivent montrer qu’ils ont de solides seuils d’alerte en place.  Mais l’audit direct des fournisseurs de services n’est pas toujours pratique, voire possible.
  • 49. 49 Audit des SI en cloud : les défis de l'audit  Les prestataires de cloud sortent difficilement de leurs contrats-type surtout pour le cloud public. D’ailleurs , les contrats portant sur les services cloud sont jugés par les entreprises comme étant complexes et trop en faveur des prestataires.  Il n’est pas sûr que l’auditeur puisse trouver les réponses aux questions suivantes et puisse les valider :  Quels collaborateurs (du fournisseur) ont accès aux informations du client ?  Les responsabilités des différents collaborateurs du fournisseur sont-elles bien cloisonnées?  Comment les informations des différents clients sont-elles séparées ?  Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en temps opportun ?  Est-ce que des contrôles de confidentialité sont en place ?  Est-ce que des voies de communication et d’information sécurisées sont en place et validées avant la fourniture des services ? Sont elles testées périodiquement ? Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de négociations. Le RGPD peut notamment aider à inverser le rapport de force.
  • 50. 50 Audit des SI en cloud : les défis de l'audit  Outils de découverte , de diagnostic et d’investigation : Les traditionnels outils de supervision et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud ni aux équipements mobiles et l’auditeur doit élargir ses investigations ( nouveaux outils , nouvelles méthodes de tests) pour s’assurer encore plus de la sécurité des données  Augmentation de la quantité de travail: Les risques du cloud diffèrent en fonction du type de cloud ( Saas, IaaS, Public, Privé,…) ; L’auditeur doit Identifier et évaluer les risques inhérents au type de cloud utilisé et étendre aux risques qui doivent être considérés dans toute l'entreprise.  Nécessité de développement de compétences techniques et juridiques supplémentaires: Les auditeurs des TI doivent obtenir une compréhension des technologies du Cloud et connaitre les principaux risques par type de cloud pour effectuer une évaluation efficace des risques; ils doivent en outre avoir une maitrise juridique permettant de neutraliser les inconvénients des contrats de cloud.
  • 51. 51 Audit des SI en cloud : les défis de l'audit
  • 52. 52 Audit des SI en cloud : les défis de l'audit De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de réglementations et de normes. La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud. Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de protection des données personnelles Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations  Difficultés de vérification de la conformité :  Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique et qu’elles soient difficiles à localiser et à récupérer.  Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient fournies sans compromettre d’autres informations.  L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses informations lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de refuser les informations aux autorités.  Des données sensibles sont également stockées sur des smartphones, des tablettes PC et d’autres équipements mobiles.
  • 53. 53 Audit des SI en cloud : les défis de l'audit  Difficulté de vérification de la conformité à cause de la circulation internationale des informations—  La particularité du service cloud est de se déployer dans un espace sans frontière ce qui met en relation des clients et des fournisseurs de différents pays du monde.  Lorsque le fournisseur de service cloud est installé ou représenté dans un pays c’est la législation du pays hôte qui s’applique.  Dans chaque pays, la teneur des lois qui réglementent les informations d’identification personnelle est très variable.  L’emplacement physique détermine la juridiction et les obligations légales en vigueur.  Lorsque les données peuvent être stockées n’importe où dans le nuage, leur emplacement physique peut poser problème. L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux lois et règlementations car ce qui est permis dans un pays peut constituer une infraction dans un autre.
  • 54. 54 Connaissances et Compétences minimales des auditeurs Des référentiels solides sur les TI et les risques peuvent aider l’auditeur à effectuer une évaluation efficace des risques  Modèle de gouvernance informatique  Intégration avec les systèmes informatiques internes  Connectivité réseau / bande passante  Emplacement des données  Location partagée  Stabilité, fiabilité et viabilité du fournisseur de services cloud  Portabilité du service  Aspects juridiques et de conformité réglementaire (y compris les licences, Arrangements contractuels)  Gestion de la sécurité de l'information (y compris IAM)  Réponse aux incidents et gestion de crise  Gestion de la continuité des activités et planification de la reprise après sinistre  Archivage et suppression des données  Audit (Pentest, screening, monitoring, ...)
  • 55. 55 Initiatives de l’industrie pour la sécurité et l’audit dans le Cloud : Alliance CSA Le CloudAudit est un important sous-groupe de l’Alliance CSA qui développe une interface de programmation d’applications pour automatiser l’audit, l’évaluation et la garantie des données et des applications dans le cloud.
  • 56. 56 Initiatives de l’industrie pour la sécurité et l’audit dans le Cloud : Alliance CSA  Cloud Control Matrix : l’analyse des risques pour le Cloud  La Cloud Control Matrix se positionne comme un outil efficace pour donner un premier niveau d’information et permettre d’évaluer les risques de sécurité d’un service Cloud.  La Cloud Control Matrix ou CCM est une liste de contrôles sécurité orientés Cloud, mise à disposition sur le site de la Cloud Security Alliance, qui permet de jeter les premières fondations de l’analyse de risque d’un service Cloud.  Chaque contrôle est croisé avec d’autres normes ou standards de sécurité déjà utilisés dans le monde industriel, comme l’ISO 27001/27002, COBIT, PCI DSS …  La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud pour auto-évaluer leur niveau de sécurité mais peut être utilisée par l’auditeur pour faire une analyse des écarts
  • 57. 57 ISACA , Cobit et le Cloud  Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou ITAF™) contient des indications (section 3630.6) sur l’externalisation et les activités confiées à des tiers qui renvoient également à d’autres référentiels comme le COBIT® (PO4, PO7, PO8, PO9, AI2 et AI5) et les IT Audit and Assurance Guidelines G4, G18, G32 et G37 de l’ISACA. Ces documents fournissent une aide technique utile pour l’exécution d’un audit de TI dans le Cloud  COBIT 5 est un ensemble complet de ressources qui contient toutes les informations dont une organisation a besoin pour adopter un cadre de gouvernance et de contrôle informatique.  COBIT 5 est utile en matière de gouvernance et de gestion des investissements IT complexes tels que les services IT dans le cloud computing.  COBIT 5 permet une meilleure gouvernance et gestion du cloud. Il permet de mettre en place des pratiques cohérentes pour contribuer à maximiser la valeur et à maîtriser le risque de l’utilisation du cloud
  • 58. 58 Cobit 5 et Gouvernance du Cloud  Gouvernance  Gouvernance des services informatiques dans le cloud  Management des risques de l’entreprise  Gestion des services offerts par un tiers  Conformité et Obligations Contractuelles  Conformité légale  Droit à l’audit  Auditabilité  Périmètre de conformité  Certifications  Planification de la transition de service
  • 59. 59 Cobit 5 et Gestion du Cloud  Management et Operations  Notification d’incidents, réponses et mesures correctives  Sécurité de l’application  Conformité  Outils et Services  Fonctionnalités de l'application  Intégrité et Sécurité des données  Gestion des clés  Gestion des accès et des identités  Virtualisation  Standards et bonnes pratiques
  • 60. 60 Opérations/ Recommandations d’audit pour les clients du Cloud  Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de gouvernance claire et un plan de gestion doivent être élaborés.  La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :  les contraintes légales , pratiques et techniques doivent être identifiées  les données, traitements ou services qui pourraient être hébergés dans le Cloud doivent être clairement identifiés.  Étant donné les risques potentiels, il est important de mettre en place un programme de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien protégée.  Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de communication , matrices des rôles et responsabilités  Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le contrat précise les domaines dans lesquels le fournisseur de cloud est responsable, y compris pour les conséquences d’un éventuel problème ; des engagements de transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans les contrats de prestation de services.
  • 61. 61 Opérations/ Recommandations d’audit pour les clients et fournisseurs du Cloud  Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre qui s’étend bien au delà des limites traditionnelles, les professionnels de la sécurité doivent utiliser des contrôles de sécurité éprouvés au niveau des données elles mêmes, et ce, où qu’elles se trouvent, car il s’agit du moyen le plus efficace pour protéger les données sensibles et atteindre les objectifs de conformité.  Le recours et la conformité à des normes et à des cadres de référence permet aux entreprises et aux auditeurs de vérifier la qualité des mesures de sécurité et des contrôles internes de leur fournisseur de cloud  ISO 27002, ISO 27017 , ISO 27018  Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils agissent dans les règles en présentant des garanties indépendantes provenant d’audits de tiers ( certifications ISO 27001 , ISO 22301 , ISO 20000, PCIDSS, HIPAA, SOX, SOC1/SAS 70, SOC2 (La reconnaissance du niveau de sécurité du Cloud ))  OVH est ISO27001 , SOC1 et SOC 2  Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
  • 62. 62 Opérations/ Recommandations d’audit pour les clients et fournisseurs du Cloud  Les fournisseurs doivent disposer d’un contrat d’assurance et doivent communiquer les attestations correspondantes à leurs clients. Ils doivent offrir les garanties en matière de protection des données personnelles  Il est nécessaire de réaliser périodiquement une évaluation des services en Cloud en fonction de l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la législation, etc
  • 63. 63 Rapport établi par des instituts européens d’audit interne  Ce rapport liste les sujets incontournables qui reflètent les domaines de risques auxquels les responsables de l’audit interne donnent la priorité alors qu’ils préparent leurs plans d’audit pour 2018 et procèdent aux évaluations des risques à plus long terme.  Ce rapport montre l’impact fondamental des technologies qui déterminent, facilitent et bouleversent les opérations et les stratégies des organisations.  Ce rapport est une pression qui incite les auditeurs internes à acquérir de nouvelles compétences et à adopter des outils innovants afin de renforcer leurs capacités dans un monde de plus en plus numérique. RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018
  • 64. 64 Rapport établi par des instituts européens d’audit interne  Les domaines de risque par ordre d’identification commune  RGPD : l’enjeu de la protection des données  Cybersécurité : le chemin de la maturité  Complexité réglementaire et incertitude  Rythme de l’innovation  Incertitude politique : BREXIT et autres inconnues  Risques liés aux fournisseurs et maîtrise de la relation avec les tiers  La problématique de la culture  Capital humain : se projeter vers le futur  Transformer la fonction d’audit interne RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018
  • 65. 65 Merci ! +216 94 70 77 37 + 33 6 65 24 89 25 sonia.kallel@bit.tn www.bit.tn