SlideShare une entreprise Scribd logo
Auditer les infrastructures
cloud : risques et défis
Auditer les infrastructures cloud :
risques et défis
Sonia Kallel
Expert en Management de la Sécurité de l’Information
Business and Information Technology – Tunisia
2
PROBLEMATIQUE
 Les auditeurs collectent des informations sur les systèmes d'information, les
pratiques et les opérations d'une organisation et les analysent de manière critique en
vue d’améliorer.
 Parmi les principaux objectifs d'un audit est de déterminer si le système
d'information et ses responsables répondent aux exigences légales et
règlementaires notamment aux attentes légales de protection des données des
clients et aux normes de réussite financière de l'entreprise face à diverses menaces.
 Ces objectifs restent toujours pertinents dans le nouveau modèle IT en cloud mais
ils nécessitent une personnalisation car le Cloud perturbe la prévisibilité
associée aux architectures informatiques, aux contrôles de sécurité et aux
procédures d'audit traditionnelles et pose de nouveaux défis aux
professionnels de l'audit.
 Dans cette présentation, nous essayons d'explorer les risques et défis potentiels
propres aux infrastructures du cloud et à leur audit, de présenter les approches
d'audit spécifiques au Cloud et de fournir une analyse critique.
3
Quelques définitions ….
 Le Cloud computing ou encore l’informatique dans les nuages, n’est pas « une
nouvelle technologie, mais c’est une nouvelle façon de délivrer les ressources
informatiques qui dérive du model d’outsourcing »
 Le cloud computing est considéré comme un changement significatif de la plate-
forme dans laquelle les services métier sont traduits, utilisés et gérés. Beaucoup
considèrent qu'il s'agit d'un changement informatique aussi important que
l'avènement de l'ordinateur personnel (PC) ou de l'accès à Internet.
 Plusieurs définitions ont été avancées pour décrire le cloud computing mais d’une
façon générale
« L’informatique dans les nuages est un modèle permettant d’établir un accès par
l’internet ou des réseaux privés à un réservoir partagé de ressources informatiques
standard configurables (réseau, serveurs, stockage, applications ) et de services
qui peuvent être rapidement mobilisées et mises à disposition en minimisant les
efforts de gestion ou les contacts avec le fournisseur de service et en permettant
l’attribution des services à la demande et le paiement en fonction de l’utilisation»
4
Caractéristiqes, Services et Modèles de
déploiement du Cloud :
5
Cinq caractéristiques essentielles du Cloud
Computing
 Le Cloud consiste à mutualiser des serveurs entre plusieurs utilisateurs;
 Il permet au client d’accéder à son espace dans le serveur de manière
dématérialisée (par un réseau de type Internet) sans préoccupation matérielle ou
logicielle;
 L’accès aux serveurs se fait en libre service et à la demande, à des conditions
contractuelles déterminées à l’avance car le cloud est un service et doit être défini
en terme de performance, de sécurité, de coût;
 L’avantage de la libre demande : un prix adapté à la consommation réelle du client
utilisateur et une optimisation de la consommation (élasticité en fonction du volume
des besoins à un moment précis);
 Le cloud offre des moyens et outils pour superviser, contrôler et générer des
rapports sur l’utilisation.
6
Trois principaux types de services Cloud
IaaS: infrastructure as a Service : Le
fournisseur de Cloud fournit
l’infrastructure hébergée (l’espace de
stockage, les serveurs notamment)
qui fera fonctionner la plate forme et
les applications de l’entreprise,
pendant que l’entreprise contrôle le
système d’exploitation et les
applications installées.
PaaS : Platform as a Service : Le
fournisseur de Cloud fournit la totalité
de l’environnement fonctionnel de la
plateforme. Il ajoute une couche sur
l’IaaS en fournissant la capacité de
déployer des applications sur une
infrastructure en nuage. Il ne reste
plus à l’entreprise qu’à maintenir ses
applications.
SaaS : Software as a Service : le
fournisseur de Cloud fournit, en plus
de tout le reste, les applications des
entreprises (CRM, messagerie,
ERP…). L’entreprise a seulement le
rôle du client/utilisateur
7
Les modèles de déploiement du Cloud
8
Exemples de cloud publiques
9
Nouveau Mode Opératoire
10
Utilisation du Cloud en France
11
Accès au Cloud
 le client loue un droit d’accès
et d’utilisation du système
informatique auprès du
fournisseur.
 Le client dispose ainsi d’un
accès à distance à des
applications sur un serveur
extérieur, ce qui le dispense
d’acquérir lui-même
l’infrastructure informatique
nécessaire, les licences
d’utilisation de progiciels etc.
12
Les Entreprises et le Cloud
 Parmi les multiples évolutions de l’informatique, des modèles d’organisation
et d’exploitation des technologies , on parle du Cloud Computing .
 L’épanouissement du cloud a bénéficié de la convergence de plusieurs phénomènes
dont,
 l’extension considérable et la multiplication de la puissance des équipements
informatique,
 la numérisation,
 la virtualisation ( base du cloud)
 la prolifération et la diversification des logiciels et
 la transformation du mode d’usage ou de consommation des entreprises et
des particuliers
 Pour rester compétitives et bénéficier d’une plus grande agilité d’organisation
et de prise de décision, les entreprises tirent profit aujourd’hui des multiples
possibilités offertes par le Cloud à travers le réseau internet.
13
Pourquoi partir dans le cloud ?
 Les stratégies de cloud améliorent l’efficacité et la flexibilité de l’entreprise,
 Le cloud permet d’offrir des services plus innovants et compétitifs,
 Le cloud réduit les coûts globaux d’exploitation.
Comme tout investissement, les projets de cloud doivent être conduits par le
conseil d’administration afin de garantir la création de valeur et l’optimisation du
risque !!!
 C'est une décision stratégique plutôt qu'une décision purement
technologique basée sur l’évaluation des avantages
 Il s’agit de remplacer les actions de la configuration, de la mise en
œuvre et de la maintenance des applications internes par la mise en
œuvre d’une stratégie pour le cloud qui satisfait les besoins de
l'entreprise
14
Avantages du Cloud
 Gagner un avantage concurrentiel et pénétrer de nouveaux marchés,
 Dans certains pays , gagner un avantage fiscal qui permet de réduire les impôts sur
le résultat
 Améliorer les produits et services existants, fidéliser les clients actuels et
ramener de nouveaux clients
 Accroître la productivité et réduire la propriété et la maintenance du matériel et
des logiciels, ce qui permet aux organisations de se concentrer sur leurs stratégies
et leurs points forts et de gagner sur le coût de la redondance
 Développer des produits et services impossibles à élaborer sans les services
du cloud et s’affranchir des barrières géographiques.
 Répondre au besoin de mobilité et d’accès à distance
 Ne plus s’occuper de la gestion du centre de données ni du stockage
15
Avantages du Cloud
 Consommer moins d'énergie et contribuer au green IT
 Mettre en place et mettre à niveau une infrastructure informatique même en cas de
budget informatique limité
 Minimiser les durées de mise en place de l'infrastructure informatique en profitant
des techniques et des avantages de la virtualisation et du savoir faire des
fournisseurs de cloud
 Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer les
demandes de pointe en investissant dans du matériel et des logiciels
supplémentaires sous-utilisés dans les périodes creuses.
 Réaliser des économies potentiellement importantes en permettant aux
entreprises de maximiser l'informatique dynamique sur une base de paiement à
l'utilisation (éviter les frais fixes et payer par utilisateur/par transaction)
 Aligner rapidement la technologie de l’information sur les stratégies commerciales
grâce à ce provisionnement à la demande
16
Les données sont désormais accessibles partout et à tous, sans limitation de moyen et
de stockage et ceci à moindre frais. Elles deviennent encore plus importantes et
représentent un véritable gisement de valeur pour les entreprises.
!!! Le déplacement des données, systèmes et services vers le cloud expose les
entreprises à de grands risques/ défis en matière de sécurité , d’audit et de conformité.
Est-ce que l’accroissement des risques ne va pas peser plus lourd que les
résultats positifs du cloud , même s’ils sont bien réels ?
Quelle assurance y a t-il que les plans du management vont permettre d’obtenir
ces résultats ?
Comment le monde de la sécurité, de l’audit et de la conformité des systèmes
d’information doit évoluer dans les environnements Cloud ?
17
Risques et Défis de mise en oeuvre du Cloud
a. Le cloud change la nature de certains risques qui existaient déjà dans un
environnement traditionnel mais qui peuvent augmenter ou diminuer suite au passage
dans le cloud
b. Le cloud conduit aussi à de nouveaux risques , tant du côté du prestataire que du
côté du client, car il bouleverse la prédictibilité associée aux architectures informatiques,
aux contrôles de sécurité et aux procédures d’audit traditionnels –
c. Le Cloud pose ainsi de nouveaux défis
aux professionnels de la sécurité, de la
conformité et de l’audit des systèmes
d’information qui sont chargés de protéger
les données de l’entreprise ainsi que les
ressources informatiques tout en s’assurant
de la conformité des mesures de sécurité.
18
Risques Associés au Cloud
 Les risques associés au Cloud dépendent de plusieurs facteurs dont :
 la technologie et les contrôles de sécurité;
 les contraintes légales et contractuelles;
 le modèle de déploiement et la répartition des tâches avec les tierces parties;
 les processus d’achat et d’audit.
 Ces facteurs changent en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du
mode de déploiement - public ou privé et dépendent des menaces et des vulnérabilités de
l’environnement – Ils permettent d’augmenter ou d’atténuer le risque.
 La sécurité et la confidentialité des données sont souvent vues comme des questions
cruciales, voire des obstacles à l’adoption de services d’informatique en nuage.
 Hormis les risques liés à la technologie et à la sécurité, il existe également un grand
nombre d'autres problèmes à prendre en compte lors de la transition vers le nuage, tels
que les problèmes réglementaires, juridiques et liés à la conformité.
19
La sécurité technique éternel point noir
20
La sécurité technique éternel point noir
21
Risques du Cloud et ISO 27000
Normes ISO 27002 , ISO 27017 , ISO 27018
 Pour les environnements Cloud, la responsabilité des contrôles est
partagée entre le client et les fournisseurs externes.
 La norme ISO 27002 divise les contrôles de sécurité en quatorze
catégories majeures et 114 mesures qui correspondent aux principales
sections d’un plan de sécurité typique pour une entreprise.
 La norme ISO 27017 : Code de bonnes pratiques pour les contrôles de la
sécurité de l'information basés sur la norme ISO 27002 pour la prestation
des services en cloud
 La norme ISO 27018: Code de bonnes pratiques pour la protection des
informations personnelles identifiables dans le cloud public agissant comme
responsable du traitement des informations personnelles identifiables.
22
Risques du Cloud et ISO 27002
Chapitres de la Norme ISO 27002
 Politiques de sécurité de l'information
 Organisation de la sécurité de l'information
 La sécurité des ressources humaines
 Gestion des actifs
 Contrôle d’accès
 Cryptographie
 Sécurité physique et environnementale
 Sécurité liée à l’exploitation
 Sécurité des communications
 Acquisition, développement et maintenance des systèmes d’information
 Relations avec les fournisseurs
 Gestion des incidents liés à la sécurité de l’information
 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
 Conformité
23
Quelques Scénarios de risques
Risque 1 : L’entreprise devient vulnérable si elle ne met pas en place une gestion et une
maintenance plus transparentes et vérifiables.
Situation :
 Une société peut facilement et rapidement augmenter ou diminuer ses niveaux de service
en fonction de l’évolution de ses besoins (elle a la possibilité d’acheter plus si elle souhaite
utiliser davantage).
 Cette souplesse de paiement à la demande permet à une unité métier d’accroître la
capacité ou de demander des services supplémentaires d’un simple appel téléphonique.
 De plus, les entreprises, en particulier lorsque elles sont confrontées à des délais urgents
qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent être
mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs de services
en cloud.
Conséquences :
 Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en place
des services sans passer par les processus d’approvisionnement nécessaires à une bonne
gouvernance.
 Il est également possible d’outrepasser les autorisations relatives au budget, les processus
de vérification des changements, les contrôles de protection de l’information et d’autres
processus de supervision, ce qui peut empêcher de se conformer aux règles internes.
24
Quelques Scénarios de risques
Risque 2 : La dépendance au fournisseur entraine des problèmes de disponibilité et de
qualité des services et des données. La renommée, l’historique et la viabilité des
fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être
exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des
garanties suffisantes.
Risque 3: Le fournisseur de cloud prend souvent la responsabilité de la manipulation
des informations, un des actifs primordiaux de l’entreprise. S’il n’est pas capable
d’assumer les niveaux de services établis, la confidentialité mais aussi la disponibilité
risquent d’être compromises, ce qui perturbe gravement les opérations de l’entreprise.
Risque 4: L’accès d’un tiers à des informations sensibles risque de compromettre leur
confidentialité. Dans le cloud, cela peut représenter une menace importante pour les
éléments de propriété intellectuelle et les secrets commerciaux.
Risque 5: Les utilisateurs du cloud public, courent des risques, dans la mesure où la
connexion entre les postes et les serveurs passe par le réseau internet non sécurisé, et
les expose à la possibilité de cyber attaques, et de violation de confidentialité.
25
Quelques Scénarios de risques
Risque 6: Les clouds publics permettent de développer des systèmes à haute
disponibilité avec des niveaux de services souvent impossibles à obtenir dans des
réseaux privés, sauf à des coûts très importants. L’inconvénient de cette disponibilité est
le risque de mélanger des données sensibles du client avec les données d’autres
clients du cloud, notamment celles des concurrents.
Risque 7: Tout actif informationnel (données, application ou processus) migré vers un
fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction des
conditions du contrat. Ainsi, l'entreprise peut perdre des données sensibles ou peut
les voir divulguées parce que l'entreprise n'est plus le seul propriétaire légal de
l'actif.
 En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par
contrat) à payer des frais pour récupérer ses propres actifs.
 En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner
une confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est
nécessaire de récupérer des informations, cela peut générer des retards
 En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide
d'outils assurant un effacement complet pour empêcher la divulgation
26
Quelques Scénarios de risques
Risque 8: Manque de contrôle directe et visibilité
 Passer au cloud implique que les actifs informationnels de l’entreprise seront «
gérés » par le fournisseur. Cependant, il est probable que l’entreprise – le
propriétaire de l’actif informationnel – ait peu de connaissances ou de « visibilité »
sur les personnes, les processus et la technologie soutenant ses actifs
informationnels dans le nuage.
 Les entreprises doivent abandonner voire déléguer le contrôle directe de tout
système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs de
services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur
la protection de la vie privée et par rapport aux responsabilités (Qui est
responsable et de quoi en cas de brèche de sécurité )
 surtout que avec l’ambiguité légale et règlementaire , la jurisprudence est
très mince concernant les responsabilités en matière de cloud
 Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à
des lois différentes dans les pays d'accueil et qui peuvent mettre les données
en danger
27
Quelques Scénarios de risques
Risque 9: Non respect de la conformité par le client
 Les données, systèmes et services échappent de plus en plus au contrôle des
services informatiques centralisés, ce qui représente un risque considérable pour la
sécurité des données sensibles et peut nuire à la capacité de l’entreprise à
maintenir sa conformité aux réglementations sectorielles et aux stratégies de
sécurité internes.
 Les services achetés individuellement ( et sans vérification profonde au préalable)
peuvent entrer en conflit et menacer la conformité technique du client avec les
stratégies technologiques en place et même entrainer des problèmes de
conformité du client avec les réglementations légales et règlementaires
(portabilité et protection des données, copyright , application des lois,
responsabilité,..) car le client doit imposer à son fournisseur toutes les exigences
légales ou réglementaires qui s'appliquent à lui
28
Quelques Scénarios de risques
Risque 9: Non respect de la conformité par le client (suite)
 Il est constaté que les clients souffrent d’une insuffisance de transparence de la part
des prestataires de Cloud quant aux conditions de réalisation des prestations,
notamment sur la sécurité et sur la question de savoir si leurs données sont
transférées à l’étranger, et plus précisément à destination de quels pays. le risque de
non respect de la confidentialité des flux transfrontalier d'informations personnelles
identifiables (PII) augmente la complexité de la conformité et rend plus difficile le
respect des directives et lois sur la vie privée et sur la protection des données et
l'entreprise peut faire l'objet de poursuites et d'amendes pour non-conformité.
29
Quelques Scénarios de risques
Risque 10: suite à l’exécution des audits réguliers de sécurité et des investigations afin
d'évaluer les mesures de sécurité du fournisseur, il y a possibilité de violer les
obligations contractuelles des fournisseurs envers leurs autres clients. En effet,
ces actions nécessitent un accès étendu aux capacités d'infrastructure et de
surveillance du fournisseur , qui sont souvent partagées avec ses autres clients et
peuvent compromettre la sécurité des données de ses derniers.
 Les entreprises doivent pouvoir choisir un fournisseur de services de cloud capable
de satisfaire aux exigences en matière de conformité et d'offrir des preuves
irréfutables de sa conformité (certifications par des auditeurs tierce partie)
Risque 11: Perte de disponibilité ou reprise partielle / perte de données ou difficulté de
récupérer toutes ses données dans le délai spécifié suite à des problèmes en fin de
service
 En cas de migration de l'entreprise d'un fournisseur de services vers un autre
ou le retour en interne des services
 En cas d’échec ou de faillite du fournisseur , ou de crise de confiance dans la
situation financière du fournisseur ou s’il fait face à une action en justice ou s’il
est la cible potentielle d'une acquisition avec la probabilité de changements
soudains dans ses politiques et les accords mis en place.
30
Quelques Scénarios de risques
Risque 12: Le cloud est similaire à toute infrastructure dans la mesure où des contrôles
de sécurité doivent être mis en place pour prévenir les attaques ou manquements de
sécurité. Les mesures de sécurité fournies par le fournisseur et sa politique de sécurité
devraient être alignées sur les exigences de sécurité de l'entreprise ( Stratégies et
Politiques) .
• Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer
que les applications utilisées répondent à ses exigences de sécurité pour réduire le
risque de divulgation et d’altération.
• Exemple : Les Clouds communautaires partagent des ressources entre différentes
entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain
niveau de confiance mutuelle. Cette confiance doit être régulée par une politique de
sécurité commune. Sinon, une attaque sur le «maillon le plus faible» du groupe
pourrait mettre en danger toutes les entités du groupe.
• Exemple : Les données sont disséminées partout et nécessitent une protection
supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin
supplémentaire de cryptage
 Chiffrement de l'accès à l'interface de contrôle des ressources du cloud
 Chiffrement de l'accès d’administration aux systèmes d'exploitation
 Chiffrement de l'accès aux applications
 Chiffrement des données d'application au repos
31
Quelques Scénarios de risques techniques
Risque 13: Accès à des données non autorisées suite à un processus de gestion des
accès défectueux ou vulnérable (infrastructure et application, cloud public) et Visibilité
de certains actifs (par exemple, les tables de routage, les adresses MAC, les adresses
IP internes, le trafic LAN) par d'autres entités dans le même cloud et leur utilisation
d’une manière malveillante
Risque 14 : Visibilité de données sensibles aux autres locataires lorsque les
ressources sont allouées dynamiquement. Cela fait référence aux données qui ont
été stockées dans l'espace mémoire ou l'espace disque et qui peuvent être récupérées
par d'autres entités partageant le cloud ( concurrents)
Risque 15: Les infrastructures Cloud sont la cible d’attaques par des pirates et
malveillants profitant des vulnérabilités techniques des hyperviseurs, des navigateurs
, des applications et des services web pour rendre indisponibles les systèmes et / ou
réduire la protection des données – un pirate qui parvient à identifier une seule
vulnérabilité peut compromettre un grand nombre de systèmes
32
Quelques Scénarios de risques
 Autres risques/défis dûs à l’utilisation du cloud et à sa nature dynamique :
 L'emplacement de l'installation de traitement peut changer en fonction de
l'équilibrage de la charge (Est-ce que le fournisseur Cloud vous assure de l'endroit
où les données sont hébergées?)
 Manque de contrôle des versions SaaS en mode Public
 Les infrastructures de Cloud ont généralement une architecture de sécurité unique
avec des modèles et standards de sécurité non encore matures alors que les clients
ont des demandes différentes.
 Besoin supplémentaire de gestion des identités et des informations d’identification
 Nécessité et défis de Journalisation
 Non disponibilité des compétences nécessaires pour soutenir les solutions
de cloud
 Résistance des fournisseurs aux audits
33
Quelques Scénarios de risques
 Autres risques/défis dûs à l’utilisation du cloud et sa nature dynamique :
- Les modes de facturation proposés sont parfois « flou », et dépendent de
plusieurs paramètres : volumétrie, le coût de production ou de mise à disposition, et
enfin le tarif locatif du service.
- Risques de transition , d'exécution et de retour en arrière
- Résistance culturelle et IT
- Non maitrise du contenu des contrats et SLA
 Qui est le Propriétaire des données ?
 Que se passe-t-il à la fin du contrat?
 Performance (Temps de réponse)
 Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont
elles lisibles?
 Déclassement de matériel
 Clause d’Audit
 CAPEX vs OPEX (coûts fixes vs coûts variables)
34
Contrat du Cloud
 La conciliation entre les avantages qu’offre le cloud computing et les inconvénients
qu’il représente réside dans la relation formée entre le client et le prestataire et
l’équilibre contractuel entre les deux.
 En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le
fournisseur (propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se
retrouver lié par ses clauses qui ne lui laissent pas la possibilité de négocier.
 En Cloud Privé : les organismes spécialisés et les entreprises grands comptes
établissent avec le fournisseur un contrat personnalisé qui offre des services
adaptés à leurs besoins et qui prévient les risques et évite les inconvénients qui
peuvent résulter du service offert.
35
Contrat du Cloud
 Un contrat Cloud doit contenir un minimum de clauses qui assurent au client
 un recours juridique plus efficace en cas de promesses non tenues ou de difficultés
dans l’exécution
 L’interdiction de la cession du contrat par le fournisseur sans justifications et préavis
 La connaissance et l’acceptation par le client de la chaîne des intervenants
 Un droit de sortie du contrat sans pénalités en cas de changement de majorité ou de
contrôle du fournisseur
 Que les données à caractère personnel restent dans le pays du client ( le cas
échéant)
 Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur
 Un droit de restitution ou de destruction des données sans délai supplémentaire et la
connaissance de la procédure de restitution des données (délai, format de
restitution, coût etc. à la fin du contrat
36
Risques du Cloud : Facteur du risque et
Conséquences en IaaS
Facteur Indisponibilité Perte/Vol Divulgation
Évolutivité /élasticité X Decreasing
Récupération après sinistre et sauvegarde X X Decreasing
Gestion des patchs X X X Decreasing
Exigences transfrontalières légales X Increasing
Locations multiples et échec d'isolation X X Increasing
Manque de visibilité entourant les mesures
de sécurité techniques en place
X X X Increasing
Absence de Plan de Reprise après sinistre
et de sauvegarde appropriés
X X Increasing
Sécurité Physique X X X Increasing
Déplacement / élimination des données X Increasing
Infrastructure de délocalisation X X X Increasing
Maintenance de la sécurité des VM X X X Increasing
Authentification du fournisseur de cloud X X X Increasing
37
Risques du Cloud : Facteur du risque et
conséquences en PaaS
Facteur Indisponibilité Perte/Vol Divulgation
Temps de développement
court
X X X Decreasing
Alignement des applications
avec la plateforme du
fournisseur
X X X Increasing
Vulnérabilités liées à
l’architecture orientée services
X X X Increasing
Arrêt des applications en fin de
service
X X Increasing
38
Risques du Cloud : Facteur du risque et
conséquences en SaaS
Facteur Indisponibilité Perte/Vol Divulgation
Sécurité améliorée X X X Decreasing
Gestion des correctifs d'application X X Decreasing
Propriété des données X X X Increasing
Élimination des données X X Increasing
Manque de visibilité dans le cycle de vie
de développement SDLC
X X X Increasing
Gestion des identités et des accès
( IAM)
X X Increasing
Stratégie de sortie ou de retour en
interne
X X Increasing
Plus large exposition des applications X X X Increasing
Facilité de signature des contrats de type
SaaS
X X X Increasing
Manque de contrôle sur le processus de
mise en production
X X Increasing
Vulnérabilités liées au navigateur X X Increasing
39
Risques du Cloud : Facteur du risque et
conséquences en Cloud Publique
Facteur Indisponibilité Perte/Vol Divulgation
Réputation publique X X X Decreasing
Partage complet du nuage
(mise en commun des
données)
X X X Increasing
Dommage indirect X X X Increasing
 Dans une infrastructure informatique en nuage public, le fournisseur d’informatique
en nuage partage l’infrastructure et les ressources entre plusieurs entreprises et
personnes non reliées entre elles.
 Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure entière
présenterait le risque de faire défaut, de se faire voler ou d’être saisie (pour des
raisons d’enquête), ceci incluant les services utilisés par d’autres entreprises
 Il est important lors du processus de décision de bien considérer quels actifs peuvent
aller sur une infrastructure informatique en nuage publique et lesquels ne le peuvent
pas.
40
Risques du Cloud : Facteur du risque et
conséquences en Cloud Communautaire
Facteur Indisponibilité Perte/Vol Divulgation
Même groupe d'entités X X X Decreasing
Accès dédié à la
communauté
X X X Decreasing
Partage du nuage X X X Increasing
 Dans l’informatique en nuage communautaire, les services sont déployés et utilisés
par des clients qui nécessitent un environnement avec un niveau de « confiance
»sensiblement équivalent.
 Dans certains cas, les entités possèdent la même politique de sécurité (renforçant
ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de stratégie ou de
politique commune.
41
Risques du Cloud : Facteur du risque et
conséquences en Cloud Privé
Facteur Indisponibilité Perte/Vol Divulgation
Peut être construit sur place X X X Decreasing
Performance X X Decreasing
Compatibilité de l'application X X Increasing
Investissements requis
peut être déclenché
par le coût
peut être déclenché
par le coût
peut être déclenché
par le coût
Increasing
Compétences informatiques
Cloud requises
peut être déclenché
par le coût
peut être déclenché
par le coût
peut être déclenché
par le coût
Increasing
Dans une informatique en nuage privée, les services sont déployés uniquement pour les
services de l’entreprise. Aucune interaction de cette infrastructure avec d’autres entités
n’est autorisée. L’informatique en nuage privée existe sur site ou hors site.
42
Risques du Cloud : Facteur du risque et
conséquences en Cloud Hybride
Facteur Indisponibilité Perte/Vol Divulgation
Interdépendance du cloud X X X Increasing
 L’informatique en nuage hybride est un modèle permettant à l’entreprise l’association
du cloud publique, communautaire et privé, et ce dépendamment du niveau de
confiance requis pour leurs actifs informationnels.
43
Audit des SI en cloud (bonne gouvernance)
Audit fondé sur les risques
 L’organisation doit avoir l’assurance que ses fournisseurs cloud peuvent livrer
le service souhaité et que les contrôles pour adresser les risques – contrôles relatifs
à la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et le
caractère privé des données sont mis en place par le fournisseur et sont
fonctionnels
 Les auditeurs doivent rassurer les utilisateurs
 Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le
prolongement naturel de l’audit fondé sur les risques identifiés, en particulier
lorsque les contrôles ne réduisent pas suffisamment les risques.
 L’approche fondée sur les risques est aujourd’hui la plus répandue pour divers
types d’audits ( ISACA, ISO 19011:2018)
 L’approche fondée sur les risques est cependant compliquée par le fait que toutes
les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité
auditée
44
Audit des SI en cloud :
Portée et Objectifs de l’audit
 L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire
que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer
les contrôles d’atténuation des risques et auditer les éléments à risque.
 Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation
et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des
lois et règlementations récentes en matière de sécurité et de protection des données ont
étendu la portée et objectifs de la conformité et de l’audit des SI à :
 La gouvernance affectant le cloud
• Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité
opérationnelle.
• Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation qui
pourraient affecter l'organisation.
 La conformité contractuelle entre le fournisseur de service et le client
• Principalement les accords sur les niveaux de service
 L’évaluation des fournisseurs de services en Cloud et du contenu des contrats
 Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des
fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité,
l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de
l'informatique dans le cloud.
45
Audit des SI en cloud :
les défis de l'audit
 Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance
raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le
fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !
 Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des
responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important
que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent
directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place
 Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne
remet généralement pas en cause
 les techniques de contrôle (qui fait quoi et comment)
 et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause
de la mobilité des données et des accès : les données peuvent théoriquement se trouver
n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou
stockées sur des points d’extrémité mobiles
46
Audit des SI en cloud :
les défis de l'audit
 Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance
raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le
fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !
 Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des
responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important
que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent
directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place
 Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne
remet généralement pas en cause
 les techniques de contrôle (qui fait quoi et comment)
 et de visibilité ( maitrise de l’état des données, des applications et des accès) .
Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct
et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause
de la mobilité des données et des accès : les données peuvent théoriquement se trouver
n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou
stockées sur des points d’extrémité mobiles
47
Audit des SI en cloud :
les défis de l'audit
 Forte dépendance par rapport aux fournisseurs de service et manque de transparence :
 Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité stricts et
efficaces qui garantissent aux clients que leurs informations sont réellement protégées contre les
accès, les modifications et les destructions non autorisés. Or Lorsque l’entité a confié des
services à un tiers fournisseur de services, l’audit direct de ce fournisseur de services n’est pas
toujours pratique, voire possible.
48
Audit des SI en cloud :
les défis de l'audit
 Les prestataires de cloud sortent difficilement de leurs contrats-type surtout pour le cloud
public et Les contrats portant sur les services cloud sont jugés par les entreprises comme étant
complexes et trop en faveur des prestataires.
 L’auditeur doit trouver les réponses aux questions suivantes:
 Quels collaborateurs (du fournisseur) ont accès aux informations du client ?
 Les responsabilités des différents collaborateurs du fournisseur sont-elles bien
cloisonnées?
 Comment les informations des différents clients sont-elles séparées ?
 Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en
temps opportun ?
 Est-ce que des contrôles de confidentialité sont en place ?
 Est-ce que des voies de communication et d’information sécurisées sont en place et
validées avant la fourniture des services ? Sont elles testées périodiquement ?
Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de négociations. Le
RGPD peut notamment aider à inverser le rapport de force.
49
Audit des SI en cloud :
les défis de l'audit
 Outils de découverte , de diagnostic et d’investigation : Les traditionnels outils de supervision
et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud ni aux
équipements mobiles et l’auditeur doit élargir ses investigations ( nouveaux outils , nouvelles
méthodes de tests) pour s’assurer encore plus de la sécurité des données
 Augmentation de la quantité de travail: Les risques du cloud diffèrent en fonction du type de
cloud ( Saas, IaaS, Public, Privé,…) ; L’auditeur doit Identifier et évaluer les risques inhérents au
type de cloud utilisé et étendre aux risques qui doivent être considérés dans toute l'entreprise.
 Nécessité de développement de compétences techniques et juridiques supplémentaires:
Les auditeurs des TI doivent obtenir une compréhension des technologies du Cloud et connaitre
les principaux risques par type de cloud pour effectuer une évaluation efficace des risques; ils
doivent en outre avoir une maitrise juridique permettant de neutraliser les inconvénients des
contrats de cloud.
50
Audit des SI en cloud :
les défis de l'audit
51
Audit des SI en cloud :
les défis de l'audit
De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de
réglementations et de normes.
La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la conformité
à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud.
Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de
protection des données personnelles
Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et
d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations
 Difficultés de vérification de la conformité :
 Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique et
qu’elles soient difficiles à localiser et à récupérer.
 Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient fournies
sans compromettre d’autres informations.
 L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses informations
lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de refuser les informations
aux autorités.
 Des données sensibles sont également stockées sur des smartphones, des tablettes PC et
d’autres équipements mobiles.
52
les défis de l'audit
 Difficulté de vérification de la conformité à cause de la circulation internationale des
informations—
 En principe lorsque le fournisseur de service cloud est installé ou représenté dans un pays
c’est la législation du pays hôte qui s’applique.
 L’emplacement physique détermine la juridiction et les obligations légales en vigueur.
 Dans chaque pays, la teneur des lois qui réglementent les informations d’identification
personnelle est très variable.
 Parfois, Lorsque les données peuvent être stockées n’importe où dans le nuage, leur
emplacement physique peut poser problème.
 La particularité du service cloud est de se déployer dans un espace sans frontière ce qui met
en relation des clients et des fournisseurs de différents pays du monde.
L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux lois et
règlementations car ce qui est permis dans un pays peut constituer une infraction dans
un autre.
Audit des SI en cloud :
53
Audit des SI en cloud :
les défis de l'audit - Conclusion
 Le cloud constitue une opportunité rare de repenser la sécurité ( revoir sa politique de sécurité)
et le contrôle informatique pour un meilleur avenir ;
 L’auditeur des systèmes d’informations doit donc identifier les nouveaux aspects affectés par
le cloud et affectant le cloud et rechercher des solutions pour obtenir des résultats similaires
à ce qu’il attend des environnements des centres de données traditionnels
 Des référentiels solides sur les TI et les risques peuvent aider l’auditeur à effectuer une
évaluation efficace des risques.
 L’audit interne peut apporter de la valeur ajoutée en examinant la gestion des contrats, en
vérifiant que les contrats comprennent formellement une clause d’audit et que les fournisseurs
ont de solides seuils d’alerte en place.
 Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles aller ? La réponse
dépendra de l’appétence pour le risque de l’organisation.
54
Compétences minimales d'audit
 Impact psychologique
 Modèle de gouvernance informatique
 Intégration avec les systèmes informatiques internes
 Connectivité réseau / bande passante
 Emplacement des données
 Location partagée
 Verrouillage avec le fournisseur
 Stabilité, fiabilité et viabilité du fournisseur de services cloud
 Portabilité du service
 Aspects juridiques et de conformité réglementaire (y compris les licences, Arrangements contractuels)
 Gestion de la sécurité de l'information (y compris IAM)
 Réponse aux incidents et gestion de crise
 Gestion de la continuité des activités et planification de la reprise après sinistre
 Archivage et suppression des données
 (Droit à) Audit (Pentest, screening, monitoring, ...)
55
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
Le CloudAudit est un
important sous-groupe
de l’Alliance
CSA qui développe
une interface de
programmation
d’applications pour
automatiser l’audit,
l’évaluation et la
garantie des données
et des applications au
sein et entre
les nombreux Clouds
56
Initiatives de l’industrie pour la sécurité et
l’audit dans le Cloud : Alliance CSA
 Cloud Control Matrix : l’analyse des risques transparente pour le Cloud
 La Cloud Control Matrix se positionne comme un outil efficace pour donner un
premier niveau d’information et permettre d’évaluer la sécurité d’un service Cloud.
 La Cloud Control Matrix ou CCM est une liste de contrôles sécurité orientés Cloud,
mise à disposition sur le site de la Cloud Security Alliance, qui permet de jeter les
premières fondations de l’analyse de risque d’un service Cloud.
 La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud pour auto-
évaluer leur niveau de sécurité mais peut etre utilisé par l’auditeur pour faire une
analyse des écarts
 Chaque contrôle est croisé avec d’autres normes ou standards de sécurité déjà
utilisés dans le monde industriel, comme l’ISO 27001/27002, COBIT, PCI DSS …
57
ISACA , Cobit et le Cloud
 Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou ITAF™)
contient des indications (section 3630.6) sur l’externalisation et les activités confiées
à des tiers qui renvoient également à d’autres référentiels comme le COBIT® (PO4,
PO7, PO8, PO9, AI2 et AI5) et les IT Audit and Assurance Guidelines G4, G18, G32
et G37 de l’ISACA. Ces documents fournissent une aide technique utile pour
l’exécution d’un audit de TI dans le Cloud
 COBIT 5 est un ensemble complet de ressources qui contient toutes les informations
dont une organisation a besoin pour adopter un cadre de gouvernance et de
contrôle informatique.
 COBIT 5 et les produits connexes sont utiles en matière de gouvernance et de
gestion des investissements complexes tels que les services de cloud computing.
Se servir de COBIT 5 pour mettre en place des pratiques cohérentes peut contribuer
à maximiser la valeur et à maîtriser le risque de l’utilisation du cloud
 COBIT 5 permet une meilleure gouvernance et gestion du cloud
58
Cobit 5 et Gouvernance du Cloud
• Gouvernance
 Gouvernance des services informatiques dans le cloud
 Management des risques de l’entreprise
 Gestion des services offerts par un tiers
 Conformité et Obligations Contractuelles
 Conformité légale
 Droit à l’audit
 Auditabilité
 Périmètre de conformité
 Certifications
 Planification de la transition de service
59
Cobit 5 et Gestion du Cloud
• Management et Operations
 Notification d’incidents, réponses et mesures correctives
 Sécurité de l’application
 Conformité
 Outils et Services
 Fonctionnalités de l'application
 Intégrité et Sécurité des données
 Gestion des clés
 Gestion des accès et des identités
 Virtualisation
 Standards et bonnes pratiques
60
Opérations/ Recommandations d’audit du
Cloud
 Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de
gouvernance claire et un plan de gestion doivent être élaborés.
 La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein
de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :
 les contraintes légales , pratiques et techniques doivent être définies
 les données, traitements ou services qui pourraient être hébergés dans le
Cloud doivent être clairement identifiés.
 Étant donné les risques potentiels, il est important de mettre en place un programme
de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre
une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien
protégée.
 Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de
communication , matrices des rôles et responsabilités pour obtenir la sécurité
 Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le
contrat précise les domaines dans lesquels le fournisseur de cloud est responsable,
y compris pour les conséquences d’un éventuel problème ; des engagements de
transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans
les contrats de prestation de services.
61
Opérations/ Recommandations d’audit du
Cloud
 Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre qui s’étend bien
au delà des limites traditionnelles, les professionnels de la sécurité doivent utiliser des contrôles
de sécurité éprouvés au niveau des données elles mêmes, et ce, où qu’elles se trouvent, car il
s’agit du moyen le plus efficace pour protéger les données sensibles et atteindre les objectifs de
conformité.
 Le recours à des normes et à des cadres de référence permet aux entreprises de vérifier la
qualité des mesures de sécurité et des contrôles internes de leur fournisseur de cloud
 Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils agissent dans les
règles en présentant des garanties indépendantes provenant d’audits de tiers ( certifications ISO
27001 , ISO 22301 , ISO 20000, PCIDSS, HIPAA, SOX, SOC1/SAS 70, SOC2 (La
reconnaissance du niveau de sécurité du Cloud ))
 OVH est ISO27001 , SOC1 et SOC 2
 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls)
en matière de sécurité opérationnelle.
 Les fournisseurs doivent disposer d’un contrat d’assurance et doivent communiquer les
attestations correspondantes à leurs clients. Ils doivent offrir les garanties en matière de
protection des données personnelles
 Il est nécessaire de réaliser périodiquement une évaluation des services en Cloud en fonction de
l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la
législation, etc
62
Rapport établi par des instituts européens d’audit interne
 Ce rapport liste les sujets incontournables qui reflètent les domaines de risques
auxquels les responsables de l’audit interne donnent la priorité alors qu’ils préparent
leurs plans d’audit pour 2018 et procèdent aux évaluations des risques à plus long
terme.
 Ce rapport montre l’impact fondamental des technologies qui déterminent, facilitent
et bouleversent les opérations et les stratégies des organisations.
 Ce rapport est une pression qui incite les auditeurs internes à acquérir de nouvelles
compétences et à adopter des outils innovants afin de renforcer leurs capacités
dans un monde de plus en plus numérique.
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT
INTERNE EN 2018
63
RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT
INTERNE EN 2018
Rapport établi par des instituts européens d’audit interne
 Les domaines de risque par ordre d’identification commune
 RGPD : l’enjeu de la protection des données
 Cybersécurité : le chemin de la maturité
 Complexité réglementaire et incertitude
 Rythme de l’innovation
 Incertitude politique : BREXIT et autres inconnues
 Risques liés aux fournisseurs et maîtrise de la relation avec les tiers
 La problématique de la culture
 Capital humain : se projeter vers le futur
 Transformer la fonction d’audit interne
64
Merci !
Sonia.Kallel@bit.tn
+216 94 70 77 37
+ 33 6 65 24 89 25

Contenu connexe

Tendances

Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
Salah Eddine BENTALBA (+15K Connections)
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
Edouard DEBERDT
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'information
Ghita Benabdellah
 
Cloud et Virtualisation
Cloud et VirtualisationCloud et Virtualisation
Cloud et Virtualisation
Marc Jouve
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Mansouri Khalifa
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
Philippe Scoffoni
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
HaShem Selmi
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
Chiheb Ouaghlani
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
jeehane
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Bilel BARHOUMI
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Chiheb Ouaghlani
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
Chp3 - Modélisation Multidimensionnelle
Chp3 - Modélisation MultidimensionnelleChp3 - Modélisation Multidimensionnelle
Chp3 - Modélisation Multidimensionnelle
Lilia Sfaxi
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
Intelligence Artificielle : Introduction à l'intelligence artificielle
Intelligence Artificielle : Introduction à l'intelligence artificielleIntelligence Artificielle : Introduction à l'intelligence artificielle
Intelligence Artificielle : Introduction à l'intelligence artificielle
ECAM Brussels Engineering School
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
Tsubichi
 

Tendances (20)

Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'information
 
Cloud et Virtualisation
Cloud et VirtualisationCloud et Virtualisation
Cloud et Virtualisation
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Chp3 - Modélisation Multidimensionnelle
Chp3 - Modélisation MultidimensionnelleChp3 - Modélisation Multidimensionnelle
Chp3 - Modélisation Multidimensionnelle
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Intelligence Artificielle : Introduction à l'intelligence artificielle
Intelligence Artificielle : Introduction à l'intelligence artificielleIntelligence Artificielle : Introduction à l'intelligence artificielle
Intelligence Artificielle : Introduction à l'intelligence artificielle
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
 

Similaire à Auditer les infrastructures cloud : risques et défis

Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
Microsoft Ideas
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
IshakHAMEDDAH
 
Le cloud Compting
Le cloud ComptingLe cloud Compting
Le cloud Compting
SymphorienLipandzaBo
 
Applications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprisesApplications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprises
GFI Portugal
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdf
AnisSalhi3
 
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
COMPETITIC
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
Club Cloud des Partenaires
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
Nuageo
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
Mohamed Belhadj
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
Christophe Monnier
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
smiste
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
CERTyou Formation
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entreprise
COMPETITIC
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
Manellansari
 
Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdf
FootballLovers9
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdf
FootballLovers9
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
Mouna Maazoun
 
Resume-theorique-M210-V1-0909_2.pdf
Resume-theorique-M210-V1-0909_2.pdfResume-theorique-M210-V1-0909_2.pdf
Resume-theorique-M210-V1-0909_2.pdf
FootballLovers9
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exin
CERTyou Formation
 

Similaire à Auditer les infrastructures cloud : risques et défis (20)

Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Le cloud Compting
Le cloud ComptingLe cloud Compting
Le cloud Compting
 
Applications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprisesApplications du Cloud destinées aux entreprises
Applications du Cloud destinées aux entreprises
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdf
 
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
Competitic Optimisez le fonctionnement de votre entreprise avec le cloud comp...
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud   livre-blanc-déc 2013Ei techno ei cloud   livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entreprise
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
 
Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdf
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdf
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
 
Resume-theorique-M210-V1-0909_2.pdf
Resume-theorique-M210-V1-0909_2.pdfResume-theorique-M210-V1-0909_2.pdf
Resume-theorique-M210-V1-0909_2.pdf
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exin
 

Plus de PECB

AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
PECB
 
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
PECB
 
Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
PECB
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
PECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
PECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
PECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
PECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
PECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
PECB
 

Plus de PECB (20)

AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
AI Risk Management: ISO/IEC 42001, the EU AI Act, and ISO/IEC 23894
 
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
 
Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 

Auditer les infrastructures cloud : risques et défis

  • 1. Auditer les infrastructures cloud : risques et défis Auditer les infrastructures cloud : risques et défis Sonia Kallel Expert en Management de la Sécurité de l’Information Business and Information Technology – Tunisia
  • 2. 2 PROBLEMATIQUE  Les auditeurs collectent des informations sur les systèmes d'information, les pratiques et les opérations d'une organisation et les analysent de manière critique en vue d’améliorer.  Parmi les principaux objectifs d'un audit est de déterminer si le système d'information et ses responsables répondent aux exigences légales et règlementaires notamment aux attentes légales de protection des données des clients et aux normes de réussite financière de l'entreprise face à diverses menaces.  Ces objectifs restent toujours pertinents dans le nouveau modèle IT en cloud mais ils nécessitent une personnalisation car le Cloud perturbe la prévisibilité associée aux architectures informatiques, aux contrôles de sécurité et aux procédures d'audit traditionnelles et pose de nouveaux défis aux professionnels de l'audit.  Dans cette présentation, nous essayons d'explorer les risques et défis potentiels propres aux infrastructures du cloud et à leur audit, de présenter les approches d'audit spécifiques au Cloud et de fournir une analyse critique.
  • 3. 3 Quelques définitions ….  Le Cloud computing ou encore l’informatique dans les nuages, n’est pas « une nouvelle technologie, mais c’est une nouvelle façon de délivrer les ressources informatiques qui dérive du model d’outsourcing »  Le cloud computing est considéré comme un changement significatif de la plate- forme dans laquelle les services métier sont traduits, utilisés et gérés. Beaucoup considèrent qu'il s'agit d'un changement informatique aussi important que l'avènement de l'ordinateur personnel (PC) ou de l'accès à Internet.  Plusieurs définitions ont été avancées pour décrire le cloud computing mais d’une façon générale « L’informatique dans les nuages est un modèle permettant d’établir un accès par l’internet ou des réseaux privés à un réservoir partagé de ressources informatiques standard configurables (réseau, serveurs, stockage, applications ) et de services qui peuvent être rapidement mobilisées et mises à disposition en minimisant les efforts de gestion ou les contacts avec le fournisseur de service et en permettant l’attribution des services à la demande et le paiement en fonction de l’utilisation»
  • 4. 4 Caractéristiqes, Services et Modèles de déploiement du Cloud :
  • 5. 5 Cinq caractéristiques essentielles du Cloud Computing  Le Cloud consiste à mutualiser des serveurs entre plusieurs utilisateurs;  Il permet au client d’accéder à son espace dans le serveur de manière dématérialisée (par un réseau de type Internet) sans préoccupation matérielle ou logicielle;  L’accès aux serveurs se fait en libre service et à la demande, à des conditions contractuelles déterminées à l’avance car le cloud est un service et doit être défini en terme de performance, de sécurité, de coût;  L’avantage de la libre demande : un prix adapté à la consommation réelle du client utilisateur et une optimisation de la consommation (élasticité en fonction du volume des besoins à un moment précis);  Le cloud offre des moyens et outils pour superviser, contrôler et générer des rapports sur l’utilisation.
  • 6. 6 Trois principaux types de services Cloud IaaS: infrastructure as a Service : Le fournisseur de Cloud fournit l’infrastructure hébergée (l’espace de stockage, les serveurs notamment) qui fera fonctionner la plate forme et les applications de l’entreprise, pendant que l’entreprise contrôle le système d’exploitation et les applications installées. PaaS : Platform as a Service : Le fournisseur de Cloud fournit la totalité de l’environnement fonctionnel de la plateforme. Il ajoute une couche sur l’IaaS en fournissant la capacité de déployer des applications sur une infrastructure en nuage. Il ne reste plus à l’entreprise qu’à maintenir ses applications. SaaS : Software as a Service : le fournisseur de Cloud fournit, en plus de tout le reste, les applications des entreprises (CRM, messagerie, ERP…). L’entreprise a seulement le rôle du client/utilisateur
  • 7. 7 Les modèles de déploiement du Cloud
  • 11. 11 Accès au Cloud  le client loue un droit d’accès et d’utilisation du système informatique auprès du fournisseur.  Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même l’infrastructure informatique nécessaire, les licences d’utilisation de progiciels etc.
  • 12. 12 Les Entreprises et le Cloud  Parmi les multiples évolutions de l’informatique, des modèles d’organisation et d’exploitation des technologies , on parle du Cloud Computing .  L’épanouissement du cloud a bénéficié de la convergence de plusieurs phénomènes dont,  l’extension considérable et la multiplication de la puissance des équipements informatique,  la numérisation,  la virtualisation ( base du cloud)  la prolifération et la diversification des logiciels et  la transformation du mode d’usage ou de consommation des entreprises et des particuliers  Pour rester compétitives et bénéficier d’une plus grande agilité d’organisation et de prise de décision, les entreprises tirent profit aujourd’hui des multiples possibilités offertes par le Cloud à travers le réseau internet.
  • 13. 13 Pourquoi partir dans le cloud ?  Les stratégies de cloud améliorent l’efficacité et la flexibilité de l’entreprise,  Le cloud permet d’offrir des services plus innovants et compétitifs,  Le cloud réduit les coûts globaux d’exploitation. Comme tout investissement, les projets de cloud doivent être conduits par le conseil d’administration afin de garantir la création de valeur et l’optimisation du risque !!!  C'est une décision stratégique plutôt qu'une décision purement technologique basée sur l’évaluation des avantages  Il s’agit de remplacer les actions de la configuration, de la mise en œuvre et de la maintenance des applications internes par la mise en œuvre d’une stratégie pour le cloud qui satisfait les besoins de l'entreprise
  • 14. 14 Avantages du Cloud  Gagner un avantage concurrentiel et pénétrer de nouveaux marchés,  Dans certains pays , gagner un avantage fiscal qui permet de réduire les impôts sur le résultat  Améliorer les produits et services existants, fidéliser les clients actuels et ramener de nouveaux clients  Accroître la productivité et réduire la propriété et la maintenance du matériel et des logiciels, ce qui permet aux organisations de se concentrer sur leurs stratégies et leurs points forts et de gagner sur le coût de la redondance  Développer des produits et services impossibles à élaborer sans les services du cloud et s’affranchir des barrières géographiques.  Répondre au besoin de mobilité et d’accès à distance  Ne plus s’occuper de la gestion du centre de données ni du stockage
  • 15. 15 Avantages du Cloud  Consommer moins d'énergie et contribuer au green IT  Mettre en place et mettre à niveau une infrastructure informatique même en cas de budget informatique limité  Minimiser les durées de mise en place de l'infrastructure informatique en profitant des techniques et des avantages de la virtualisation et du savoir faire des fournisseurs de cloud  Mieux gérer la capacité et garantir l’évolutivité des systèmes: ne plus gérer les demandes de pointe en investissant dans du matériel et des logiciels supplémentaires sous-utilisés dans les périodes creuses.  Réaliser des économies potentiellement importantes en permettant aux entreprises de maximiser l'informatique dynamique sur une base de paiement à l'utilisation (éviter les frais fixes et payer par utilisateur/par transaction)  Aligner rapidement la technologie de l’information sur les stratégies commerciales grâce à ce provisionnement à la demande
  • 16. 16 Les données sont désormais accessibles partout et à tous, sans limitation de moyen et de stockage et ceci à moindre frais. Elles deviennent encore plus importantes et représentent un véritable gisement de valeur pour les entreprises. !!! Le déplacement des données, systèmes et services vers le cloud expose les entreprises à de grands risques/ défis en matière de sécurité , d’audit et de conformité. Est-ce que l’accroissement des risques ne va pas peser plus lourd que les résultats positifs du cloud , même s’ils sont bien réels ? Quelle assurance y a t-il que les plans du management vont permettre d’obtenir ces résultats ? Comment le monde de la sécurité, de l’audit et de la conformité des systèmes d’information doit évoluer dans les environnements Cloud ?
  • 17. 17 Risques et Défis de mise en oeuvre du Cloud a. Le cloud change la nature de certains risques qui existaient déjà dans un environnement traditionnel mais qui peuvent augmenter ou diminuer suite au passage dans le cloud b. Le cloud conduit aussi à de nouveaux risques , tant du côté du prestataire que du côté du client, car il bouleverse la prédictibilité associée aux architectures informatiques, aux contrôles de sécurité et aux procédures d’audit traditionnels – c. Le Cloud pose ainsi de nouveaux défis aux professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information qui sont chargés de protéger les données de l’entreprise ainsi que les ressources informatiques tout en s’assurant de la conformité des mesures de sécurité.
  • 18. 18 Risques Associés au Cloud  Les risques associés au Cloud dépendent de plusieurs facteurs dont :  la technologie et les contrôles de sécurité;  les contraintes légales et contractuelles;  le modèle de déploiement et la répartition des tâches avec les tierces parties;  les processus d’achat et d’audit.  Ces facteurs changent en fonction du modèle Cloud choisi - IaaS, PaaS et SaaS - et du mode de déploiement - public ou privé et dépendent des menaces et des vulnérabilités de l’environnement – Ils permettent d’augmenter ou d’atténuer le risque.  La sécurité et la confidentialité des données sont souvent vues comme des questions cruciales, voire des obstacles à l’adoption de services d’informatique en nuage.  Hormis les risques liés à la technologie et à la sécurité, il existe également un grand nombre d'autres problèmes à prendre en compte lors de la transition vers le nuage, tels que les problèmes réglementaires, juridiques et liés à la conformité.
  • 19. 19 La sécurité technique éternel point noir
  • 20. 20 La sécurité technique éternel point noir
  • 21. 21 Risques du Cloud et ISO 27000 Normes ISO 27002 , ISO 27017 , ISO 27018  Pour les environnements Cloud, la responsabilité des contrôles est partagée entre le client et les fournisseurs externes.  La norme ISO 27002 divise les contrôles de sécurité en quatorze catégories majeures et 114 mesures qui correspondent aux principales sections d’un plan de sécurité typique pour une entreprise.  La norme ISO 27017 : Code de bonnes pratiques pour les contrôles de la sécurité de l'information basés sur la norme ISO 27002 pour la prestation des services en cloud  La norme ISO 27018: Code de bonnes pratiques pour la protection des informations personnelles identifiables dans le cloud public agissant comme responsable du traitement des informations personnelles identifiables.
  • 22. 22 Risques du Cloud et ISO 27002 Chapitres de la Norme ISO 27002  Politiques de sécurité de l'information  Organisation de la sécurité de l'information  La sécurité des ressources humaines  Gestion des actifs  Contrôle d’accès  Cryptographie  Sécurité physique et environnementale  Sécurité liée à l’exploitation  Sécurité des communications  Acquisition, développement et maintenance des systèmes d’information  Relations avec les fournisseurs  Gestion des incidents liés à la sécurité de l’information  Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité  Conformité
  • 23. 23 Quelques Scénarios de risques Risque 1 : L’entreprise devient vulnérable si elle ne met pas en place une gestion et une maintenance plus transparentes et vérifiables. Situation :  Une société peut facilement et rapidement augmenter ou diminuer ses niveaux de service en fonction de l’évolution de ses besoins (elle a la possibilité d’acheter plus si elle souhaite utiliser davantage).  Cette souplesse de paiement à la demande permet à une unité métier d’accroître la capacité ou de demander des services supplémentaires d’un simple appel téléphonique.  De plus, les entreprises, en particulier lorsque elles sont confrontées à des délais urgents qui nécessitent une solution urgente, ou si elles cherchent des solutions qui peuvent être mises en œuvre facilement et à faible coût , se tournent vers les fournisseurs de services en cloud. Conséquences :  Chaque unité métier peut identifier ses besoins, négocier des contrats et mettre en place des services sans passer par les processus d’approvisionnement nécessaires à une bonne gouvernance.  Il est également possible d’outrepasser les autorisations relatives au budget, les processus de vérification des changements, les contrôles de protection de l’information et d’autres processus de supervision, ce qui peut empêcher de se conformer aux règles internes.
  • 24. 24 Quelques Scénarios de risques Risque 2 : La dépendance au fournisseur entraine des problèmes de disponibilité et de qualité des services et des données. La renommée, l’historique et la viabilité des fournisseurs sont des facteurs à prendre en compte pour l’entreprise qui doivent être exigeantes et rigoureuses lorsqu’elles choisissent un fournisseur. Il doit présenter des garanties suffisantes. Risque 3: Le fournisseur de cloud prend souvent la responsabilité de la manipulation des informations, un des actifs primordiaux de l’entreprise. S’il n’est pas capable d’assumer les niveaux de services établis, la confidentialité mais aussi la disponibilité risquent d’être compromises, ce qui perturbe gravement les opérations de l’entreprise. Risque 4: L’accès d’un tiers à des informations sensibles risque de compromettre leur confidentialité. Dans le cloud, cela peut représenter une menace importante pour les éléments de propriété intellectuelle et les secrets commerciaux. Risque 5: Les utilisateurs du cloud public, courent des risques, dans la mesure où la connexion entre les postes et les serveurs passe par le réseau internet non sécurisé, et les expose à la possibilité de cyber attaques, et de violation de confidentialité.
  • 25. 25 Quelques Scénarios de risques Risque 6: Les clouds publics permettent de développer des systèmes à haute disponibilité avec des niveaux de services souvent impossibles à obtenir dans des réseaux privés, sauf à des coûts très importants. L’inconvénient de cette disponibilité est le risque de mélanger des données sensibles du client avec les données d’autres clients du cloud, notamment celles des concurrents. Risque 7: Tout actif informationnel (données, application ou processus) migré vers un fournisseur de cloud pourrait être légalement détenu par le fournisseur en fonction des conditions du contrat. Ainsi, l'entreprise peut perdre des données sensibles ou peut les voir divulguées parce que l'entreprise n'est plus le seul propriétaire légal de l'actif.  En cas de résiliation du contrat, l'entreprise pourrait même être soumise (par contrat) à payer des frais pour récupérer ses propres actifs.  En cas de résiliation du contrat , la nature dynamique du cloud peut entraîner une confusion sur le lieu précis d’hébergement des informations. Lorsqu’il est nécessaire de récupérer des informations, cela peut générer des retards  En cas de résiliation de contrat, ces actifs doivent être retirés du cloud à l'aide d'outils assurant un effacement complet pour empêcher la divulgation
  • 26. 26 Quelques Scénarios de risques Risque 8: Manque de contrôle directe et visibilité  Passer au cloud implique que les actifs informationnels de l’entreprise seront « gérés » par le fournisseur. Cependant, il est probable que l’entreprise – le propriétaire de l’actif informationnel – ait peu de connaissances ou de « visibilité » sur les personnes, les processus et la technologie soutenant ses actifs informationnels dans le nuage.  Les entreprises doivent abandonner voire déléguer le contrôle directe de tout système qu’elles déplacent vers le cloud et sa visibilité à des fournisseurs de services Cloud, ce qui engendre naturellement des inquiétudes sur la sécurité , sur la protection de la vie privée et par rapport aux responsabilités (Qui est responsable et de quoi en cas de brèche de sécurité )  surtout que avec l’ambiguité légale et règlementaire , la jurisprudence est très mince concernant les responsabilités en matière de cloud  Accentue les problèmes juridiques (responsabilité, propriété, etc.) liés à des lois différentes dans les pays d'accueil et qui peuvent mettre les données en danger
  • 27. 27 Quelques Scénarios de risques Risque 9: Non respect de la conformité par le client  Les données, systèmes et services échappent de plus en plus au contrôle des services informatiques centralisés, ce qui représente un risque considérable pour la sécurité des données sensibles et peut nuire à la capacité de l’entreprise à maintenir sa conformité aux réglementations sectorielles et aux stratégies de sécurité internes.  Les services achetés individuellement ( et sans vérification profonde au préalable) peuvent entrer en conflit et menacer la conformité technique du client avec les stratégies technologiques en place et même entrainer des problèmes de conformité du client avec les réglementations légales et règlementaires (portabilité et protection des données, copyright , application des lois, responsabilité,..) car le client doit imposer à son fournisseur toutes les exigences légales ou réglementaires qui s'appliquent à lui
  • 28. 28 Quelques Scénarios de risques Risque 9: Non respect de la conformité par le client (suite)  Il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays. le risque de non respect de la confidentialité des flux transfrontalier d'informations personnelles identifiables (PII) augmente la complexité de la conformité et rend plus difficile le respect des directives et lois sur la vie privée et sur la protection des données et l'entreprise peut faire l'objet de poursuites et d'amendes pour non-conformité.
  • 29. 29 Quelques Scénarios de risques Risque 10: suite à l’exécution des audits réguliers de sécurité et des investigations afin d'évaluer les mesures de sécurité du fournisseur, il y a possibilité de violer les obligations contractuelles des fournisseurs envers leurs autres clients. En effet, ces actions nécessitent un accès étendu aux capacités d'infrastructure et de surveillance du fournisseur , qui sont souvent partagées avec ses autres clients et peuvent compromettre la sécurité des données de ses derniers.  Les entreprises doivent pouvoir choisir un fournisseur de services de cloud capable de satisfaire aux exigences en matière de conformité et d'offrir des preuves irréfutables de sa conformité (certifications par des auditeurs tierce partie) Risque 11: Perte de disponibilité ou reprise partielle / perte de données ou difficulté de récupérer toutes ses données dans le délai spécifié suite à des problèmes en fin de service  En cas de migration de l'entreprise d'un fournisseur de services vers un autre ou le retour en interne des services  En cas d’échec ou de faillite du fournisseur , ou de crise de confiance dans la situation financière du fournisseur ou s’il fait face à une action en justice ou s’il est la cible potentielle d'une acquisition avec la probabilité de changements soudains dans ses politiques et les accords mis en place.
  • 30. 30 Quelques Scénarios de risques Risque 12: Le cloud est similaire à toute infrastructure dans la mesure où des contrôles de sécurité doivent être mis en place pour prévenir les attaques ou manquements de sécurité. Les mesures de sécurité fournies par le fournisseur et sa politique de sécurité devraient être alignées sur les exigences de sécurité de l'entreprise ( Stratégies et Politiques) . • Exemple: Lors de l'utilisation de services en mode SaaS, l'entreprise doit s'assurer que les applications utilisées répondent à ses exigences de sécurité pour réduire le risque de divulgation et d’altération. • Exemple : Les Clouds communautaires partagent des ressources entre différentes entités appartenant au même groupe (ou communauté) et possèdent ainsi un certain niveau de confiance mutuelle. Cette confiance doit être régulée par une politique de sécurité commune. Sinon, une attaque sur le «maillon le plus faible» du groupe pourrait mettre en danger toutes les entités du groupe. • Exemple : Les données sont disséminées partout et nécessitent une protection supplémentaire contre la divulgation, le vol, l’altération. Il y a donc un besoin supplémentaire de cryptage  Chiffrement de l'accès à l'interface de contrôle des ressources du cloud  Chiffrement de l'accès d’administration aux systèmes d'exploitation  Chiffrement de l'accès aux applications  Chiffrement des données d'application au repos
  • 31. 31 Quelques Scénarios de risques techniques Risque 13: Accès à des données non autorisées suite à un processus de gestion des accès défectueux ou vulnérable (infrastructure et application, cloud public) et Visibilité de certains actifs (par exemple, les tables de routage, les adresses MAC, les adresses IP internes, le trafic LAN) par d'autres entités dans le même cloud et leur utilisation d’une manière malveillante Risque 14 : Visibilité de données sensibles aux autres locataires lorsque les ressources sont allouées dynamiquement. Cela fait référence aux données qui ont été stockées dans l'espace mémoire ou l'espace disque et qui peuvent être récupérées par d'autres entités partageant le cloud ( concurrents) Risque 15: Les infrastructures Cloud sont la cible d’attaques par des pirates et malveillants profitant des vulnérabilités techniques des hyperviseurs, des navigateurs , des applications et des services web pour rendre indisponibles les systèmes et / ou réduire la protection des données – un pirate qui parvient à identifier une seule vulnérabilité peut compromettre un grand nombre de systèmes
  • 32. 32 Quelques Scénarios de risques  Autres risques/défis dûs à l’utilisation du cloud et à sa nature dynamique :  L'emplacement de l'installation de traitement peut changer en fonction de l'équilibrage de la charge (Est-ce que le fournisseur Cloud vous assure de l'endroit où les données sont hébergées?)  Manque de contrôle des versions SaaS en mode Public  Les infrastructures de Cloud ont généralement une architecture de sécurité unique avec des modèles et standards de sécurité non encore matures alors que les clients ont des demandes différentes.  Besoin supplémentaire de gestion des identités et des informations d’identification  Nécessité et défis de Journalisation  Non disponibilité des compétences nécessaires pour soutenir les solutions de cloud  Résistance des fournisseurs aux audits
  • 33. 33 Quelques Scénarios de risques  Autres risques/défis dûs à l’utilisation du cloud et sa nature dynamique : - Les modes de facturation proposés sont parfois « flou », et dépendent de plusieurs paramètres : volumétrie, le coût de production ou de mise à disposition, et enfin le tarif locatif du service. - Risques de transition , d'exécution et de retour en arrière - Résistance culturelle et IT - Non maitrise du contenu des contrats et SLA  Qui est le Propriétaire des données ?  Que se passe-t-il à la fin du contrat?  Performance (Temps de réponse)  Quelles informations le fournisseur Cloud renvoie-t-il et sur quel format ? Sont elles lisibles?  Déclassement de matériel  Clause d’Audit  CAPEX vs OPEX (coûts fixes vs coûts variables)
  • 34. 34 Contrat du Cloud  La conciliation entre les avantages qu’offre le cloud computing et les inconvénients qu’il représente réside dans la relation formée entre le client et le prestataire et l’équilibre contractuel entre les deux.  En cloud public : la relation est régie par un contrat «standard» établi et arrêté par le fournisseur (propriétaire du cloud) et le client ne peut qu’adhérer au contrat et se retrouver lié par ses clauses qui ne lui laissent pas la possibilité de négocier.  En Cloud Privé : les organismes spécialisés et les entreprises grands comptes établissent avec le fournisseur un contrat personnalisé qui offre des services adaptés à leurs besoins et qui prévient les risques et évite les inconvénients qui peuvent résulter du service offert.
  • 35. 35 Contrat du Cloud  Un contrat Cloud doit contenir un minimum de clauses qui assurent au client  un recours juridique plus efficace en cas de promesses non tenues ou de difficultés dans l’exécution  L’interdiction de la cession du contrat par le fournisseur sans justifications et préavis  La connaissance et l’acceptation par le client de la chaîne des intervenants  Un droit de sortie du contrat sans pénalités en cas de changement de majorité ou de contrôle du fournisseur  Que les données à caractère personnel restent dans le pays du client ( le cas échéant)  Un droit d’audit pour contrôler le niveau de services proposé par le fournisseur  Un droit de restitution ou de destruction des données sans délai supplémentaire et la connaissance de la procédure de restitution des données (délai, format de restitution, coût etc. à la fin du contrat
  • 36. 36 Risques du Cloud : Facteur du risque et Conséquences en IaaS Facteur Indisponibilité Perte/Vol Divulgation Évolutivité /élasticité X Decreasing Récupération après sinistre et sauvegarde X X Decreasing Gestion des patchs X X X Decreasing Exigences transfrontalières légales X Increasing Locations multiples et échec d'isolation X X Increasing Manque de visibilité entourant les mesures de sécurité techniques en place X X X Increasing Absence de Plan de Reprise après sinistre et de sauvegarde appropriés X X Increasing Sécurité Physique X X X Increasing Déplacement / élimination des données X Increasing Infrastructure de délocalisation X X X Increasing Maintenance de la sécurité des VM X X X Increasing Authentification du fournisseur de cloud X X X Increasing
  • 37. 37 Risques du Cloud : Facteur du risque et conséquences en PaaS Facteur Indisponibilité Perte/Vol Divulgation Temps de développement court X X X Decreasing Alignement des applications avec la plateforme du fournisseur X X X Increasing Vulnérabilités liées à l’architecture orientée services X X X Increasing Arrêt des applications en fin de service X X Increasing
  • 38. 38 Risques du Cloud : Facteur du risque et conséquences en SaaS Facteur Indisponibilité Perte/Vol Divulgation Sécurité améliorée X X X Decreasing Gestion des correctifs d'application X X Decreasing Propriété des données X X X Increasing Élimination des données X X Increasing Manque de visibilité dans le cycle de vie de développement SDLC X X X Increasing Gestion des identités et des accès ( IAM) X X Increasing Stratégie de sortie ou de retour en interne X X Increasing Plus large exposition des applications X X X Increasing Facilité de signature des contrats de type SaaS X X X Increasing Manque de contrôle sur le processus de mise en production X X Increasing Vulnérabilités liées au navigateur X X Increasing
  • 39. 39 Risques du Cloud : Facteur du risque et conséquences en Cloud Publique Facteur Indisponibilité Perte/Vol Divulgation Réputation publique X X X Decreasing Partage complet du nuage (mise en commun des données) X X X Increasing Dommage indirect X X X Increasing  Dans une infrastructure informatique en nuage public, le fournisseur d’informatique en nuage partage l’infrastructure et les ressources entre plusieurs entreprises et personnes non reliées entre elles.  Si un utilisateur abuse des services d’un cloud publique alors l’infrastructure entière présenterait le risque de faire défaut, de se faire voler ou d’être saisie (pour des raisons d’enquête), ceci incluant les services utilisés par d’autres entreprises  Il est important lors du processus de décision de bien considérer quels actifs peuvent aller sur une infrastructure informatique en nuage publique et lesquels ne le peuvent pas.
  • 40. 40 Risques du Cloud : Facteur du risque et conséquences en Cloud Communautaire Facteur Indisponibilité Perte/Vol Divulgation Même groupe d'entités X X X Decreasing Accès dédié à la communauté X X X Decreasing Partage du nuage X X X Increasing  Dans l’informatique en nuage communautaire, les services sont déployés et utilisés par des clients qui nécessitent un environnement avec un niveau de « confiance »sensiblement équivalent.  Dans certains cas, les entités possèdent la même politique de sécurité (renforçant ainsi le facteur de confiance). Dans d’autres cas, il n’y a pas de stratégie ou de politique commune.
  • 41. 41 Risques du Cloud : Facteur du risque et conséquences en Cloud Privé Facteur Indisponibilité Perte/Vol Divulgation Peut être construit sur place X X X Decreasing Performance X X Decreasing Compatibilité de l'application X X Increasing Investissements requis peut être déclenché par le coût peut être déclenché par le coût peut être déclenché par le coût Increasing Compétences informatiques Cloud requises peut être déclenché par le coût peut être déclenché par le coût peut être déclenché par le coût Increasing Dans une informatique en nuage privée, les services sont déployés uniquement pour les services de l’entreprise. Aucune interaction de cette infrastructure avec d’autres entités n’est autorisée. L’informatique en nuage privée existe sur site ou hors site.
  • 42. 42 Risques du Cloud : Facteur du risque et conséquences en Cloud Hybride Facteur Indisponibilité Perte/Vol Divulgation Interdépendance du cloud X X X Increasing  L’informatique en nuage hybride est un modèle permettant à l’entreprise l’association du cloud publique, communautaire et privé, et ce dépendamment du niveau de confiance requis pour leurs actifs informationnels.
  • 43. 43 Audit des SI en cloud (bonne gouvernance) Audit fondé sur les risques  L’organisation doit avoir l’assurance que ses fournisseurs cloud peuvent livrer le service souhaité et que les contrôles pour adresser les risques – contrôles relatifs à la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et le caractère privé des données sont mis en place par le fournisseur et sont fonctionnels  Les auditeurs doivent rassurer les utilisateurs  Lorsque l’évaluation des risques est appropriée, l’audit des TI devient le prolongement naturel de l’audit fondé sur les risques identifiés, en particulier lorsque les contrôles ne réduisent pas suffisamment les risques.  L’approche fondée sur les risques est aujourd’hui la plus répandue pour divers types d’audits ( ISACA, ISO 19011:2018)  L’approche fondée sur les risques est cependant compliquée par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée
  • 44. 44 Audit des SI en cloud : Portée et Objectifs de l’audit  L’audit de l’informatique en cloud ressemble à l’audit de l’informatique traditionnelle , c’est-à-dire que l’auditeur doit comprendre l’environnement et la technologie, identifier les risques, évaluer les contrôles d’atténuation des risques et auditer les éléments à risque.  Comme conséquence de la dispersion des données liée à la sous-traitance, à la délocalisation et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme, des lois et règlementations récentes en matière de sécurité et de protection des données ont étendu la portée et objectifs de la conformité et de l’audit des SI à :  La gouvernance affectant le cloud • Fournir à la direction une évaluation des politiques et procédures du cloud et de leur efficacité opérationnelle. • Identifier les déficiences du système de contrôle interne et de la conformité à la réglementation qui pourraient affecter l'organisation.  La conformité contractuelle entre le fournisseur de service et le client • Principalement les accords sur les niveaux de service  L’évaluation des fournisseurs de services en Cloud et du contenu des contrats  Evaluer la résilience des activités et Identifier les problèmes de contrôle de gestion des fournisseurs du cloud et les limites des contrats conclus qui pourraient affecter la fiabilité, l'exactitude et la sécurité des données de l'entreprise en raison des faiblesses des contrôles de l'informatique dans le cloud.
  • 45. 45 Audit des SI en cloud : les défis de l'audit  Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !  Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place  Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne remet généralement pas en cause  les techniques de contrôle (qui fait quoi et comment)  et de visibilité ( maitrise de l’état des données, des applications et des accès) . Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause de la mobilité des données et des accès : les données peuvent théoriquement se trouver n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou stockées sur des points d’extrémité mobiles
  • 46. 46 Audit des SI en cloud : les défis de l'audit  Augmentation du doute : L’auditeur doit réduire le risque d’audit et donner une assurance raisonnable au client sur la bonne santé de leur SI sauf que l’audit du cloud est compliqué par le fait que toutes les technologies et tous les contrôles sont hébergés à l’extérieur de l’entité auditée et l’environnement de contrôle des fournisseurs du cloud reste imprévisible et mois sûr !  Accessibilité non garantie pour faire l’audit : Étant donné la nature du partage des responsabilités dans les environnements Cloud, et la nécessité de collaboration , il est important que les fournisseurs de services facilitent l’accès des auditeurs vers des zones qu’ils administrent directement et leur donnent la possibilité d’auditer et de vérifier les contrôles en place  Manque de contrôle directe et de visibilité : Dans un environnement traditionnel, l’auditeur ne remet généralement pas en cause  les techniques de contrôle (qui fait quoi et comment)  et de visibilité ( maitrise de l’état des données, des applications et des accès) . Dans le cloud, ni l’entreprise ni l’auditeur ne peuvent disposer du même niveau de contrôle direct et de visibilité qu’ils ont habituellement sur la sécurité des données pour vérifier sa fiabilité à cause de la mobilité des données et des accès : les données peuvent théoriquement se trouver n’importe où en dehors du périmètre traditionnel et peuvent être consultées à distance ou stockées sur des points d’extrémité mobiles
  • 47. 47 Audit des SI en cloud : les défis de l'audit  Forte dépendance par rapport aux fournisseurs de service et manque de transparence :  Les fournisseurs de services doivent démontrer l’existence de contrôles de sécurité stricts et efficaces qui garantissent aux clients que leurs informations sont réellement protégées contre les accès, les modifications et les destructions non autorisés. Or Lorsque l’entité a confié des services à un tiers fournisseur de services, l’audit direct de ce fournisseur de services n’est pas toujours pratique, voire possible.
  • 48. 48 Audit des SI en cloud : les défis de l'audit  Les prestataires de cloud sortent difficilement de leurs contrats-type surtout pour le cloud public et Les contrats portant sur les services cloud sont jugés par les entreprises comme étant complexes et trop en faveur des prestataires.  L’auditeur doit trouver les réponses aux questions suivantes:  Quels collaborateurs (du fournisseur) ont accès aux informations du client ?  Les responsabilités des différents collaborateurs du fournisseur sont-elles bien cloisonnées?  Comment les informations des différents clients sont-elles séparées ?  Quels sont les contrôles appliqués pour empêcher, détecter et traiter les infractions en temps opportun ?  Est-ce que des contrôles de confidentialité sont en place ?  Est-ce que des voies de communication et d’information sécurisées sont en place et validées avant la fourniture des services ? Sont elles testées périodiquement ? Maintenant, la pression concurrentielle et réglementaire offre de nouvelles marges de négociations. Le RGPD peut notamment aider à inverser le rapport de force.
  • 49. 49 Audit des SI en cloud : les défis de l'audit  Outils de découverte , de diagnostic et d’investigation : Les traditionnels outils de supervision et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud ni aux équipements mobiles et l’auditeur doit élargir ses investigations ( nouveaux outils , nouvelles méthodes de tests) pour s’assurer encore plus de la sécurité des données  Augmentation de la quantité de travail: Les risques du cloud diffèrent en fonction du type de cloud ( Saas, IaaS, Public, Privé,…) ; L’auditeur doit Identifier et évaluer les risques inhérents au type de cloud utilisé et étendre aux risques qui doivent être considérés dans toute l'entreprise.  Nécessité de développement de compétences techniques et juridiques supplémentaires: Les auditeurs des TI doivent obtenir une compréhension des technologies du Cloud et connaitre les principaux risques par type de cloud pour effectuer une évaluation efficace des risques; ils doivent en outre avoir une maitrise juridique permettant de neutraliser les inconvénients des contrats de cloud.
  • 50. 50 Audit des SI en cloud : les défis de l'audit
  • 51. 51 Audit des SI en cloud : les défis de l'audit De nos jours, la plupart des entreprises doivent se conformer à une multitude de lois, de réglementations et de normes. La réglementation en matière de sécurité et des lois plus récentes étend le parapluie de la conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud. Les nouvelles exigences légales et règlementaires ont augmenté les niveaux de sécurité et de protection des données personnelles Dans un modèle IT en cloud , l’auditeur est appelé à vérifier avec encore plus de vigilance et d’efficacité la conformité aux politiques de sécurité et aux lois et règlementations  Difficultés de vérification de la conformité :  Il y a des craintes qu’avec le cloud, les données ne soient pas stockées dans un lieu unique et qu’elles soient difficiles à localiser et à récupérer.  Si les autorités demandent des données, il est primordial de veiller à ce qu’elles soient fournies sans compromettre d’autres informations.  L’utilisation des services de cloud ne garantit pas que l’entreprise peut obtenir ses informations lorsqu’elle en a besoin. Certains fournisseurs se réservent même le droit de refuser les informations aux autorités.  Des données sensibles sont également stockées sur des smartphones, des tablettes PC et d’autres équipements mobiles.
  • 52. 52 les défis de l'audit  Difficulté de vérification de la conformité à cause de la circulation internationale des informations—  En principe lorsque le fournisseur de service cloud est installé ou représenté dans un pays c’est la législation du pays hôte qui s’applique.  L’emplacement physique détermine la juridiction et les obligations légales en vigueur.  Dans chaque pays, la teneur des lois qui réglementent les informations d’identification personnelle est très variable.  Parfois, Lorsque les données peuvent être stockées n’importe où dans le nuage, leur emplacement physique peut poser problème.  La particularité du service cloud est de se déployer dans un espace sans frontière ce qui met en relation des clients et des fournisseurs de différents pays du monde. L’auditeur doit vérifier avec encore plus d’efficacité la conformité aux lois et règlementations car ce qui est permis dans un pays peut constituer une infraction dans un autre. Audit des SI en cloud :
  • 53. 53 Audit des SI en cloud : les défis de l'audit - Conclusion  Le cloud constitue une opportunité rare de repenser la sécurité ( revoir sa politique de sécurité) et le contrôle informatique pour un meilleur avenir ;  L’auditeur des systèmes d’informations doit donc identifier les nouveaux aspects affectés par le cloud et affectant le cloud et rechercher des solutions pour obtenir des résultats similaires à ce qu’il attend des environnements des centres de données traditionnels  Des référentiels solides sur les TI et les risques peuvent aider l’auditeur à effectuer une évaluation efficace des risques.  L’audit interne peut apporter de la valeur ajoutée en examinant la gestion des contrats, en vérifiant que les contrats comprennent formellement une clause d’audit et que les fournisseurs ont de solides seuils d’alerte en place.  Mais jusqu’à quels niveaux les activités d’audit des tiers doivent-elles aller ? La réponse dépendra de l’appétence pour le risque de l’organisation.
  • 54. 54 Compétences minimales d'audit  Impact psychologique  Modèle de gouvernance informatique  Intégration avec les systèmes informatiques internes  Connectivité réseau / bande passante  Emplacement des données  Location partagée  Verrouillage avec le fournisseur  Stabilité, fiabilité et viabilité du fournisseur de services cloud  Portabilité du service  Aspects juridiques et de conformité réglementaire (y compris les licences, Arrangements contractuels)  Gestion de la sécurité de l'information (y compris IAM)  Réponse aux incidents et gestion de crise  Gestion de la continuité des activités et planification de la reprise après sinistre  Archivage et suppression des données  (Droit à) Audit (Pentest, screening, monitoring, ...)
  • 55. 55 Initiatives de l’industrie pour la sécurité et l’audit dans le Cloud : Alliance CSA Le CloudAudit est un important sous-groupe de l’Alliance CSA qui développe une interface de programmation d’applications pour automatiser l’audit, l’évaluation et la garantie des données et des applications au sein et entre les nombreux Clouds
  • 56. 56 Initiatives de l’industrie pour la sécurité et l’audit dans le Cloud : Alliance CSA  Cloud Control Matrix : l’analyse des risques transparente pour le Cloud  La Cloud Control Matrix se positionne comme un outil efficace pour donner un premier niveau d’information et permettre d’évaluer la sécurité d’un service Cloud.  La Cloud Control Matrix ou CCM est une liste de contrôles sécurité orientés Cloud, mise à disposition sur le site de la Cloud Security Alliance, qui permet de jeter les premières fondations de l’analyse de risque d’un service Cloud.  La Cloud Control Matrix est surtout destinée aux fournisseurs Cloud pour auto- évaluer leur niveau de sécurité mais peut etre utilisé par l’auditeur pour faire une analyse des écarts  Chaque contrôle est croisé avec d’autres normes ou standards de sécurité déjà utilisés dans le monde industriel, comme l’ISO 27001/27002, COBIT, PCI DSS …
  • 57. 57 ISACA , Cobit et le Cloud  Le cadre de certification TI de l’ISACA (IT Assurance Framework™ ou ITAF™) contient des indications (section 3630.6) sur l’externalisation et les activités confiées à des tiers qui renvoient également à d’autres référentiels comme le COBIT® (PO4, PO7, PO8, PO9, AI2 et AI5) et les IT Audit and Assurance Guidelines G4, G18, G32 et G37 de l’ISACA. Ces documents fournissent une aide technique utile pour l’exécution d’un audit de TI dans le Cloud  COBIT 5 est un ensemble complet de ressources qui contient toutes les informations dont une organisation a besoin pour adopter un cadre de gouvernance et de contrôle informatique.  COBIT 5 et les produits connexes sont utiles en matière de gouvernance et de gestion des investissements complexes tels que les services de cloud computing. Se servir de COBIT 5 pour mettre en place des pratiques cohérentes peut contribuer à maximiser la valeur et à maîtriser le risque de l’utilisation du cloud  COBIT 5 permet une meilleure gouvernance et gestion du cloud
  • 58. 58 Cobit 5 et Gouvernance du Cloud • Gouvernance  Gouvernance des services informatiques dans le cloud  Management des risques de l’entreprise  Gestion des services offerts par un tiers  Conformité et Obligations Contractuelles  Conformité légale  Droit à l’audit  Auditabilité  Périmètre de conformité  Certifications  Planification de la transition de service
  • 59. 59 Cobit 5 et Gestion du Cloud • Management et Operations  Notification d’incidents, réponses et mesures correctives  Sécurité de l’application  Conformité  Outils et Services  Fonctionnalités de l'application  Intégrité et Sécurité des données  Gestion des clés  Gestion des accès et des identités  Virtualisation  Standards et bonnes pratiques
  • 60. 60 Opérations/ Recommandations d’audit du Cloud  Pour que les entreprises tirent profit de l'utilisation du cloud, une stratégie de gouvernance claire et un plan de gestion doivent être élaborés.  La stratégie de gouvernance doit définir la direction et les objectifs du cloud au sein de l'entreprise, et le plan de gestion doit exécuter la réalisation des objectifs :  les contraintes légales , pratiques et techniques doivent être définies  les données, traitements ou services qui pourraient être hébergés dans le Cloud doivent être clairement identifiés.  Étant donné les risques potentiels, il est important de mettre en place un programme de sécurité de qualité (y compris la gestion des risques) avant de mettre en œuvre une technologie de cloud pour assurer que la donnée soit à la fois disponible et bien protégée.  Conformité contractuelle et nécessité d’utilisation de contrats SLA , processus de communication , matrices des rôles et responsabilités pour obtenir la sécurité  Il est essentiel d’être bien conseillé sur le plan juridique afin de s’assurer que le contrat précise les domaines dans lesquels le fournisseur de cloud est responsable, y compris pour les conséquences d’un éventuel problème ; des engagements de transparence des prestataires vis-à-vis de leurs clients doivent être formalisés dans les contrats de prestation de services.
  • 61. 61 Opérations/ Recommandations d’audit du Cloud  Plutôt que de continuer à concentrer leurs efforts sur la protection d’un périmètre qui s’étend bien au delà des limites traditionnelles, les professionnels de la sécurité doivent utiliser des contrôles de sécurité éprouvés au niveau des données elles mêmes, et ce, où qu’elles se trouvent, car il s’agit du moyen le plus efficace pour protéger les données sensibles et atteindre les objectifs de conformité.  Le recours à des normes et à des cadres de référence permet aux entreprises de vérifier la qualité des mesures de sécurité et des contrôles internes de leur fournisseur de cloud  Les fournisseurs de services de cloud doivent garantir à leurs clients qu’ils agissent dans les règles en présentant des garanties indépendantes provenant d’audits de tiers ( certifications ISO 27001 , ISO 22301 , ISO 20000, PCIDSS, HIPAA, SOX, SOC1/SAS 70, SOC2 (La reconnaissance du niveau de sécurité du Cloud ))  OVH est ISO27001 , SOC1 et SOC 2  Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.  Les fournisseurs doivent disposer d’un contrat d’assurance et doivent communiquer les attestations correspondantes à leurs clients. Ils doivent offrir les garanties en matière de protection des données personnelles  Il est nécessaire de réaliser périodiquement une évaluation des services en Cloud en fonction de l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la législation, etc
  • 62. 62 Rapport établi par des instituts européens d’audit interne  Ce rapport liste les sujets incontournables qui reflètent les domaines de risques auxquels les responsables de l’audit interne donnent la priorité alors qu’ils préparent leurs plans d’audit pour 2018 et procèdent aux évaluations des risques à plus long terme.  Ce rapport montre l’impact fondamental des technologies qui déterminent, facilitent et bouleversent les opérations et les stratégies des organisations.  Ce rapport est une pression qui incite les auditeurs internes à acquérir de nouvelles compétences et à adopter des outils innovants afin de renforcer leurs capacités dans un monde de plus en plus numérique. RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018
  • 63. 63 RISQUES A CIBLER / LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018 Rapport établi par des instituts européens d’audit interne  Les domaines de risque par ordre d’identification commune  RGPD : l’enjeu de la protection des données  Cybersécurité : le chemin de la maturité  Complexité réglementaire et incertitude  Rythme de l’innovation  Incertitude politique : BREXIT et autres inconnues  Risques liés aux fournisseurs et maîtrise de la relation avec les tiers  La problématique de la culture  Capital humain : se projeter vers le futur  Transformer la fonction d’audit interne
  • 64. 64 Merci ! Sonia.Kallel@bit.tn +216 94 70 77 37 + 33 6 65 24 89 25