Présentation pour la Semaine de la Sécurité AWS Canada 2024sur la Gouvernance de Sécurité dans l'infonuagique, comment démarrer, améliorer, et contrôler son implémentation
L'adoption du cloud est plus qu'une simple transformation de votre informatique, c'est une transformation de votre organisation. Elle nécessite une implication large des parties prenantes, un changement d'état d'esprit et un changement de culture pour l'ensemble de votre entreprise. Cette session présentera le framework relatif à l'adoption du cloud qui identifie les parties prenantes clés, explique leurs motivations et leurs doutes et traite des freins qui pourraient ralentir ou retarder l'adoption du cloud. Nous vous présenterons également des ateliers pour impliquer et attirer vos parties prenantes et vous aider à former votre village.
Migrer et faire fonctionner les applications Microsoft dans AWS, Outils et se...Amazon Web Services
Cette session met en avant les stratégies recommandées, qui n'étaient peut-être pas prises en compte auparavant, de migration vers AWS. Notre objectif est de vous fournir un plan axé sur la sécurité fort et de supprimer le gros du travail indifférencié. Rejoignez-nous pour une discussion approfondie sur la migration des workloads Microsoft vers une landing zone sécurisée et à forte automatisation dans le Cloud AWS. Découvrez les options de migration des systèmes de productivité d'entreprise, des serveurs Microsoft SQL et d'un nombre d'applications .NET. Apprenez-en également plus sur le processus de création d'une landing zone de niveau professionnel et sur les commandes de conformité entièrement automatisées avant de démarrer votre processus de migration.
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
L'adoption du cloud est plus qu'une simple transformation de votre informatique, c'est une transformation de votre organisation. Elle nécessite une implication large des parties prenantes, un changement d'état d'esprit et un changement de culture pour l'ensemble de votre entreprise. Cette session présentera le framework relatif à l'adoption du cloud qui identifie les parties prenantes clés, explique leurs motivations et leurs doutes et traite des freins qui pourraient ralentir ou retarder l'adoption du cloud. Nous vous présenterons également des ateliers pour impliquer et attirer vos parties prenantes et vous aider à former votre village.
Migrer et faire fonctionner les applications Microsoft dans AWS, Outils et se...Amazon Web Services
Cette session met en avant les stratégies recommandées, qui n'étaient peut-être pas prises en compte auparavant, de migration vers AWS. Notre objectif est de vous fournir un plan axé sur la sécurité fort et de supprimer le gros du travail indifférencié. Rejoignez-nous pour une discussion approfondie sur la migration des workloads Microsoft vers une landing zone sécurisée et à forte automatisation dans le Cloud AWS. Découvrez les options de migration des systèmes de productivité d'entreprise, des serveurs Microsoft SQL et d'un nombre d'applications .NET. Apprenez-en également plus sur le processus de création d'une landing zone de niveau professionnel et sur les commandes de conformité entièrement automatisées avant de démarrer votre processus de migration.
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
Dans cette session, vous découvrirez comment tirer avantage des propriétés uniques du Cloud tout en vous appuyant sur le soutien de nos ingénieurs support. Vous verrez nos offres de support AWS disponibles 24x7. Notre équipe vous guidera au travers de notre outil automatisé « Trusted Advisor », et vous conseillera sur la manière de créer une architecture auto ajustable. Mais ne vous contentez pas de nous croire sur parole, venez écouter nos clients vous expliquer comment ils ont les services du Support AWS pour tirer le meilleur parti de la plateforme.
Intégration et livraison continues des bonnes pratiques de conception d'appli...Amazon Web Services
Les techniques d'intégration et de livraison continues (CI/CD) permettent aux équipes d'augmenter leur agilité et d'accélérer la sortie de produits de haute qualité. Au cours de cette conférence, nous passerons en revue les bonnes pratiques de conception des flux de travail CI/CD vous permettant de gérer vos applications sans serveur et conteneurisées. Nous évoquerons les infrastructures utilisées comme modèles d'application de code, telles que le modèle d'application sans serveur AWS ainsi que la façon dont configurer les pipelines de publication CI/CD avec AWS CodePipeline et AWS CodeBuild. Enfin, nous vous montrerons comment automatiser des déploiements plus sûrs à l'aide d'AWS CodeDeploy.
Alors que l’adoption de DevOps pour des organisations Agile était une transition naturelle, le passage à DevSecOps a introduit de nouveaux défis. DevSecOps nécessite un changement important de mentalité et de culture d'entreprise pour intégrer les nouveaux outils et les nouvelles activités de sécurité. C’est la raison pour laquelle suivre le rythme d’Agile et la culture DevOps lors de l’introduction de la sécurité dans le cycle de développement logiciel (SDLC) est un défit pour de nombreuses entreprises.
Dans ce webinaire, Cem Nisanoglu explore le modèle opérationnel de DevSecOps et souligne l'importance de la gestion des changements, de l'automatisation, et des indicateurs de sécurité dans une transition vers DevSecOps, ainsi que la manière dont ces activités peuvent contribuer à la formation de sécurité, à des cycles de release plus rapides, et à l'optimisation des budgets de sécurité dans l’entreprise.
8ème Forum du Club Cloud des Partenaires, dans le cadre de Partner VIP [22 novembre 2011] - Présentation des services d'accompagnement d'Aspaway pour les Editeurs qui veulent offrir une solution SaaS.
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...Amazon Web Services
Maintenant que se pose la question de la migration de votre portefeuille applicatif vers le cloud AWS, il est important de faire preuve de pragmatisme et d'aborder cette phase de migration de façon structurée et efficace. Les phases initiales de cartographie et d'assessment des applications devant être suivies d'une démarche de migration encadrée et outillée. Nous vous proposons de découvrir ces meilleures pratiques afin d'être en mesure de construire votre roadmap de migration vers le cloud.
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
D’un côté, la transformation numérique fait naître des modèles de business disruptifs et une compétition agressive pour l’acquisition de parts de marché, imposant une création de valeur rapide et agile. D’un autre côté, le Cloud, avec ses points d’accès publics et son évolution en continu, met en défaut les vieux paradigmes de sécurité pendant que le RSSI voit les investissements pour bâtir une défense en profondeur pour protéger le réseau d’entreprise et les applications devenir moins pertinents devant la sophistication, la fréquence et l’échelle des cyberattaques.
Après la migration d’une majorité des applicatifs métiers dans Microsoft Azure, l’adoption des méthodes Agiles et la transformation DevOps, Microsoft IT opère une transformation de ses équipes en SecDevOps comme un des éléments de réponses à ces contraintes.
Cette session s’intéressera à la façon dont Microsoft IT a outillé ses équipes afin de suivre le processus SDL (Secure Development Lifecycle) pour des applications désormais hébergées dans Microsoft Azure.
Les enjeux de la gestion des actifs logiciels à l’heure du cloudMicrosoft Ideas
Session Crayon Consulting & Services : L'émergence et l'adoption des technologies cloud bouleversent la manière dont les actifs logiciels doivent être gérés. Au travers de cette session, Crayon France vous propose de comprendre: les enjeux de la gestion des actifs logiciels (SAM), pourquoi le SAM et le cloud font bon ménage, en quoi le SAM est une étape clé pour aller dans le cloud, quels sont les enjeux de faire du SAM avant de basculer dans le cloud, si le cloud est une alternative au cloud, comment le SAM peut vous aider à anticiper les changements liés au cloud. Découvrez comment Crayon peut vous aider à appréhender ces changements et à optimiser vos investissements dans les technologies cloud !
Alphorm.com Formation Microsoft Azure (AZ-900) : Les FondamentauxAlphorm
Dans cette formation en premier lieu on découvrira les concepts du cloud en général et on abordera les éléments suivants :
• Qu’est-ce que le cloud computing ?
• Avantages du cloud computing
• High Availability, Fault Tolerance, and Disaster Recovery
• Scalability et Elasticity
• Dépenses en capital (CAPEX) et dépenses en fonctionnement (OPEX)
• Modèle basé sur la consommation
• Types de services cloud (IaaS, PaaS, SaaS)
• Modèles de déploiement cloud (Public, Privé, Hybride)
Ensuite on fera un focus sur le cloud de Microsoft Azure Services et on abordera les éléments suivants :
• Azure Architecture (Azure portal, Régions, Availability Zone, Resource Groups, Azure Resource Manager)
• Azure Produits & Services (Compute, Networking, Storage, Databases, Azure Marketplace)
• Azure Solutions (Internet of Things (IoT), BigData & Analytics , Artificial Intelligence (AI), Serverless Computing )
• Azure Management Tools (Azure CLI, Azure Powershell, et Resource explorer)
En enchainera sur la sécurité, responsabilité et approbation dans Azure
• Sécurité des réseaux (Azure Firewall, DDoS Protection, NSG)
• Azure Identity Services (Authentification et Autorisation, Azure AD, MFA)
• Outils et caractéristiques de sécurité d'Azure (Azure Security Center, Azure Key Vault , AIP, ATP)
• Azure Gouvernance (Policies, Initiatives, RBAC, Resources Locking, Azure Advisor)
• Surveillance et rapports en azur (Azure Monitor, Service Health)
• Azure Normes de protection de la vie privée, de conformité et de protection des données (Conformité de l'industrie, déclaration de confidentialité de Microsoft, Microsoft Trust Center, Service Trust Portal , Microsoft Compliance Manager, Régions Spéciale d’Azure)
Et le dernier module on va voir la tarification et Support Azure on abordera les éléments suivants :
• Abonnements Azure « Souscriptions »
• Options et cas d’usage des Abonnements Azure
• Planification et gestion des coûts Azure
• Compte gratuit Azure
• Facteurs de coût
• Zones de facturation
• Calculateur de prix
• Calculateur de coût total de possession (TCO)
• Minimiser les coûts Azure
• Gestion des coûts Azure
• Plans de support Azure
• Service Level Agreements (SLAs)
• Fonctionnalités de prévisualisation publiques et privées
• Disponibilité Générale (GA)
• Surveillance des mises à jour des fonctionnalités
A la fin on va faire un contrôle des connaissances avec des questions et réponses de l’examen AZ-900.
Watchguard la solution de sécurité informatique Partenaire expert de référencePROJECT SI
DSI RSI Directions informatiques découvrez la solution de référence en terme de sécurité pour vos environnements AZURE de Microsoft Un partenaire expert de qualité et une référence nationale PROJECT SI Découvrez nos offres et sécurisez votre entreprise https://www.project-si.fr/
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Devoteam Revolve
La sécurité devient de plus en plus une motivation première pour adopter le cloud AWS. Dans cette session, nous évoquerons les outils et techniques que nos clients utilisent pour sécuriser leurs environnements cloud à l’échelle. Venez découvrir comment adresser la détection de menaces et le déclenchement de réponses adaptées sur AWS.
Serverless for OPS - Global Azure Bootcamp 2018Manon PERNIN
Une des promesses du serverless est de minimiser les tâches opérationnelles, il ne faut pas les négliger pour autant !
Alors comment faire du CI/CD et du monitoring pour les Azure Functions Azure ?
2023 Identiverse - Enforcing consent conformance in your authorization logic ...Jean-François LOMBARDO
This presentation done at Identiverse 2023 presents how to enforce consent acquired from data subject as access control polices that can be used for fine grained authorization strategy
SEC301 - New AWS security services for container threat detection - final.pdfJean-François LOMBARDO
1) The document discusses new AWS security services for container threat detection, including Amazon GuardDuty for EKS, Amazon Inspector, and AWS Security Hub.
2) It provides information on how these services can help secure containers by providing visibility, improving security posture, and automating responses to threats.
3) Recommendations are given on how to integrate and leverage these services for continuous threat monitoring, vulnerability management, and streamlining security workflows across container environments.
Contenu connexe
Similaire à AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie de cybersécurité sur AWS - speaker notes.pptx
Dans cette session, vous découvrirez comment tirer avantage des propriétés uniques du Cloud tout en vous appuyant sur le soutien de nos ingénieurs support. Vous verrez nos offres de support AWS disponibles 24x7. Notre équipe vous guidera au travers de notre outil automatisé « Trusted Advisor », et vous conseillera sur la manière de créer une architecture auto ajustable. Mais ne vous contentez pas de nous croire sur parole, venez écouter nos clients vous expliquer comment ils ont les services du Support AWS pour tirer le meilleur parti de la plateforme.
Intégration et livraison continues des bonnes pratiques de conception d'appli...Amazon Web Services
Les techniques d'intégration et de livraison continues (CI/CD) permettent aux équipes d'augmenter leur agilité et d'accélérer la sortie de produits de haute qualité. Au cours de cette conférence, nous passerons en revue les bonnes pratiques de conception des flux de travail CI/CD vous permettant de gérer vos applications sans serveur et conteneurisées. Nous évoquerons les infrastructures utilisées comme modèles d'application de code, telles que le modèle d'application sans serveur AWS ainsi que la façon dont configurer les pipelines de publication CI/CD avec AWS CodePipeline et AWS CodeBuild. Enfin, nous vous montrerons comment automatiser des déploiements plus sûrs à l'aide d'AWS CodeDeploy.
Alors que l’adoption de DevOps pour des organisations Agile était une transition naturelle, le passage à DevSecOps a introduit de nouveaux défis. DevSecOps nécessite un changement important de mentalité et de culture d'entreprise pour intégrer les nouveaux outils et les nouvelles activités de sécurité. C’est la raison pour laquelle suivre le rythme d’Agile et la culture DevOps lors de l’introduction de la sécurité dans le cycle de développement logiciel (SDLC) est un défit pour de nombreuses entreprises.
Dans ce webinaire, Cem Nisanoglu explore le modèle opérationnel de DevSecOps et souligne l'importance de la gestion des changements, de l'automatisation, et des indicateurs de sécurité dans une transition vers DevSecOps, ainsi que la manière dont ces activités peuvent contribuer à la formation de sécurité, à des cycles de release plus rapides, et à l'optimisation des budgets de sécurité dans l’entreprise.
8ème Forum du Club Cloud des Partenaires, dans le cadre de Partner VIP [22 novembre 2011] - Présentation des services d'accompagnement d'Aspaway pour les Editeurs qui veulent offrir une solution SaaS.
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...Amazon Web Services
Maintenant que se pose la question de la migration de votre portefeuille applicatif vers le cloud AWS, il est important de faire preuve de pragmatisme et d'aborder cette phase de migration de façon structurée et efficace. Les phases initiales de cartographie et d'assessment des applications devant être suivies d'une démarche de migration encadrée et outillée. Nous vous proposons de découvrir ces meilleures pratiques afin d'être en mesure de construire votre roadmap de migration vers le cloud.
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
D’un côté, la transformation numérique fait naître des modèles de business disruptifs et une compétition agressive pour l’acquisition de parts de marché, imposant une création de valeur rapide et agile. D’un autre côté, le Cloud, avec ses points d’accès publics et son évolution en continu, met en défaut les vieux paradigmes de sécurité pendant que le RSSI voit les investissements pour bâtir une défense en profondeur pour protéger le réseau d’entreprise et les applications devenir moins pertinents devant la sophistication, la fréquence et l’échelle des cyberattaques.
Après la migration d’une majorité des applicatifs métiers dans Microsoft Azure, l’adoption des méthodes Agiles et la transformation DevOps, Microsoft IT opère une transformation de ses équipes en SecDevOps comme un des éléments de réponses à ces contraintes.
Cette session s’intéressera à la façon dont Microsoft IT a outillé ses équipes afin de suivre le processus SDL (Secure Development Lifecycle) pour des applications désormais hébergées dans Microsoft Azure.
Les enjeux de la gestion des actifs logiciels à l’heure du cloudMicrosoft Ideas
Session Crayon Consulting & Services : L'émergence et l'adoption des technologies cloud bouleversent la manière dont les actifs logiciels doivent être gérés. Au travers de cette session, Crayon France vous propose de comprendre: les enjeux de la gestion des actifs logiciels (SAM), pourquoi le SAM et le cloud font bon ménage, en quoi le SAM est une étape clé pour aller dans le cloud, quels sont les enjeux de faire du SAM avant de basculer dans le cloud, si le cloud est une alternative au cloud, comment le SAM peut vous aider à anticiper les changements liés au cloud. Découvrez comment Crayon peut vous aider à appréhender ces changements et à optimiser vos investissements dans les technologies cloud !
Alphorm.com Formation Microsoft Azure (AZ-900) : Les FondamentauxAlphorm
Dans cette formation en premier lieu on découvrira les concepts du cloud en général et on abordera les éléments suivants :
• Qu’est-ce que le cloud computing ?
• Avantages du cloud computing
• High Availability, Fault Tolerance, and Disaster Recovery
• Scalability et Elasticity
• Dépenses en capital (CAPEX) et dépenses en fonctionnement (OPEX)
• Modèle basé sur la consommation
• Types de services cloud (IaaS, PaaS, SaaS)
• Modèles de déploiement cloud (Public, Privé, Hybride)
Ensuite on fera un focus sur le cloud de Microsoft Azure Services et on abordera les éléments suivants :
• Azure Architecture (Azure portal, Régions, Availability Zone, Resource Groups, Azure Resource Manager)
• Azure Produits & Services (Compute, Networking, Storage, Databases, Azure Marketplace)
• Azure Solutions (Internet of Things (IoT), BigData & Analytics , Artificial Intelligence (AI), Serverless Computing )
• Azure Management Tools (Azure CLI, Azure Powershell, et Resource explorer)
En enchainera sur la sécurité, responsabilité et approbation dans Azure
• Sécurité des réseaux (Azure Firewall, DDoS Protection, NSG)
• Azure Identity Services (Authentification et Autorisation, Azure AD, MFA)
• Outils et caractéristiques de sécurité d'Azure (Azure Security Center, Azure Key Vault , AIP, ATP)
• Azure Gouvernance (Policies, Initiatives, RBAC, Resources Locking, Azure Advisor)
• Surveillance et rapports en azur (Azure Monitor, Service Health)
• Azure Normes de protection de la vie privée, de conformité et de protection des données (Conformité de l'industrie, déclaration de confidentialité de Microsoft, Microsoft Trust Center, Service Trust Portal , Microsoft Compliance Manager, Régions Spéciale d’Azure)
Et le dernier module on va voir la tarification et Support Azure on abordera les éléments suivants :
• Abonnements Azure « Souscriptions »
• Options et cas d’usage des Abonnements Azure
• Planification et gestion des coûts Azure
• Compte gratuit Azure
• Facteurs de coût
• Zones de facturation
• Calculateur de prix
• Calculateur de coût total de possession (TCO)
• Minimiser les coûts Azure
• Gestion des coûts Azure
• Plans de support Azure
• Service Level Agreements (SLAs)
• Fonctionnalités de prévisualisation publiques et privées
• Disponibilité Générale (GA)
• Surveillance des mises à jour des fonctionnalités
A la fin on va faire un contrôle des connaissances avec des questions et réponses de l’examen AZ-900.
Watchguard la solution de sécurité informatique Partenaire expert de référencePROJECT SI
DSI RSI Directions informatiques découvrez la solution de référence en terme de sécurité pour vos environnements AZURE de Microsoft Un partenaire expert de qualité et une référence nationale PROJECT SI Découvrez nos offres et sécurisez votre entreprise https://www.project-si.fr/
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Devoteam Revolve
La sécurité devient de plus en plus une motivation première pour adopter le cloud AWS. Dans cette session, nous évoquerons les outils et techniques que nos clients utilisent pour sécuriser leurs environnements cloud à l’échelle. Venez découvrir comment adresser la détection de menaces et le déclenchement de réponses adaptées sur AWS.
Serverless for OPS - Global Azure Bootcamp 2018Manon PERNIN
Une des promesses du serverless est de minimiser les tâches opérationnelles, il ne faut pas les négliger pour autant !
Alors comment faire du CI/CD et du monitoring pour les Azure Functions Azure ?
2023 Identiverse - Enforcing consent conformance in your authorization logic ...Jean-François LOMBARDO
This presentation done at Identiverse 2023 presents how to enforce consent acquired from data subject as access control polices that can be used for fine grained authorization strategy
SEC301 - New AWS security services for container threat detection - final.pdfJean-François LOMBARDO
1) The document discusses new AWS security services for container threat detection, including Amazon GuardDuty for EKS, Amazon Inspector, and AWS Security Hub.
2) It provides information on how these services can help secure containers by providing visibility, improving security posture, and automating responses to threats.
3) Recommendations are given on how to integrate and leverage these services for continuous threat monitoring, vulnerability management, and streamlining security workflows across container environments.
Jeff Lombardo - Enforcing access control in depth with AWS - v1.2.pdfJean-François LOMBARDO
Infrastructure Security services are seen as the traditional mechanisms for enforcing protection of data. But now Identity and Access Management has to be considered too to prevent illegitimate access to information, unauthorized usage of services, and tampering of data. This is why, at AWS, Identity and Access Management oriented services is global service in our portfolio. Implementing a least privileged model for your workload requires that you consider what each component must have as permissions. For example: is it better to assign an IAM role to your Compute instance or to impersonate the initial requestor with their roles and permissions? Are the attributes of the requestor important for your access control logic? Can the context of the request influence how the resource should be disclosed?
Answering those questions will allow you to design and implement access control thanks to a composition of multiple mechanisms. Through this session, we will describe how a very simple web store application will benefit from implementing: identity federation, attribute-based access control, and security token exchange through the usage of the appropriate AWS services.
Community Builder session on Amazon EKS and how to enforce Security controls on top of it. This deep dive on the core difference with EC2 security model as long as the native integration with other AWS Security Services
How to propagate Identity context to legacy building blocks such as Databases? Is there a way to reuse the JWT acquired at Front-End to enable Dynamic Authorization at micro-services and Back-Ends? Discover the JWAP mechanism
The document discusses the ripple effects of the EU's General Data Protection Regulation (GDPR) in North America and analyzes upcoming data privacy laws like the California Consumer Privacy Act (CCPA) and proposed Consumer Data Protection Act (CDPA). It outlines key aspects of the GDPR, CCPA, and CDPA like their territorial scope, definitions of personal data, organizations and operations covered, individual rights, and penalties for noncompliance. While the CCPA goes into effect in 2020, the CDPA remains a draft bill. The document also notes challenges that laws like the CCPA face from large companies.
This document discusses navigating NIST SP 800-63-3 authentication and identity assurance levels. It provides cheat sheets comparing identity, authentication, and federation assurance levels between different standards and frameworks. Examples of evidence types for different identity assurance levels are also presented. Finally, a taxonomy for levels of verification of trust is proposed.
IdentityNorth Montreal - Furture Proof your Digital Identity strategyJean-François LOMBARDO
Planning for future is hard but is also the best way to keep your technological debt under control. Same apply for the Digital Identity strategy. Learn from the future and act now.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Dans le cadre de la séance d'aujourd'hui, nous approcherons notre voyage vers un stratégie de cybersécurité mature en s’appuyant sur un modèle holistique tout en veillant à ce que nous couvrions le trio: personnes, processus et la technologies.
Une stratégie de cybersécurité solide commence par une base solide. Heureusement, il existe de nombreux cadres dont nous pouvons tirer parti pour commencer à établir une base solide
L'un de ces cadres s'appelle le cadre de cybersécurité du NIST.
Le cadre de cybersécurité (CSF) du NIST est reconnu comme le guide principal en matière de cybersécurité et de gestion des risques pour les organisations de toute taille et de n'importe quel secteur ou emplacement.
Un cadre volontaire comprenant des pratiques exemplaires pour aider les organisations de toute taille et de n'importe quel secteur à améliorer la cybersécurité, la gestion des risques et la résilience de leurs systèmes
Une taxonomie commune pour harmoniser les facteurs d'affaires de l'organisation et les considérations de sécurité propres à son utilisation de la technologie
Utilise les normes existantes pour s'étendre au-delà des frontières, évoluer en fonction des progrès technologiques et des exigences opérationnelles, et réaliser des économies d'échelle
Destiné à l'origine aux infrastructures essentielles, mais applicable à tous les types d'organisations
Les fonctions de base — IDENTIFIER, PROTÉGER, DÉTECTER, RÉAGIR et REPRENDRE — organisent les résultats de cybersécurité à leur plus haut niveau.
En d'autres termes, identifiez vos actifs et vos données, mettez au point des processus, des technologies et des contrôles pour les protéger et détecter les menaces contre eux ; réagir aux menaces ou aux attaques et vous en remettre.
Le cadre de cybersécurité du NIST (CSF) 2.0, qui vient de sortir il y a quelques semaines à la fin de février, ajoute GOUVERNER en tant que fonction de base supplémentaire qui superpose ces cinq éléments. « GOUVERNER traite de la compréhension du contexte organisationnel ; de l'établissement d'une stratégie de cybersécurité et de la gestion des risques liés à la chaîne d'approvisionnement en cybersécurité ; des rôles, des responsabilités et des pouvoirs ; de la politique ; et de la surveillance de la stratégie de cybersécurité. »
Le cadre est organisé selon des fonctions, des niveaux et des profils de base, et ces trois éléments permettent aux organisations de hiérarchiser les risques de cybersécurité et de les traiter conformément à leurs besoins opérationnels et de mission.
Construit autour de six piliers : excellence opérationnelle, sécurité, fiabilité, efficacité de la performance, optimisation des coûts et durabilité
Le cadre AWS bien architecturé fournit une approche cohérente permettant aux clients et aux partenaires d'évaluer les architectures et de mettre en œuvre des conceptions évolutives.
Pourquoi devrais-je appliquer le cadre AWS Well Architected?
Parce que vous voulez :
Construire et déployer plus rapides : En réduisant la lutte contre les incendies, la gestion de la capacité et en utilisant l'automatisation, vous pouvez expérimenter et libérer de la valeur plus souvent.
Réduire ou atténuer les risques : Comprenez où vous avez des risques dans votre architecture et traitez-les avant qu'ils n'affectent votre entreprise et distraient votre équipe.
Prendre des décisions éclairées : Assurez-vous d'avoir pris des décisions architecturales actives qui mettent en évidence l'impact qu'elles pourraient avoir sur les résultats de votre entreprise.
Découvrir les meilleures pratiques AWS : assurez-vous que vos équipes connaissent les meilleures pratiques que nous avons apprises en examinant des milliers d'architectures de clients sur AWS.
Nous avons vu des clients utiliser le cadre AWS Bell-Architects pour réaliser ces objectifs avec succès.
Image licensed from = https://www.shutterstock.com/image-photo/beautiful-downtown-chicago-skyline-night-1361680346
Wel-Architected est plus qu'un ensemble de pratiques exemplaires consultable au sein de la console AWS
Wel-Architected est aussi un mécanisme pour le parcours infonuagique de nos clients.
Il vous permettra de :
- Découvrir les stratégies et les meilleures pratiques d'architecture dans le nuage
- Mesurer votre architecture selon des axes spécifiques prédéfinis tout en pouvant tenir tenant compte des pratiques de votre organisation via des axes que vous créerez spécifiquement
- Améliorer vos architectures infonuagiques en traitant tout problème à risque élevé identifié, à l'aide de plans d'amélioration, de laboratoires, de partenaires, d’architectes de solutions AWS et plus encore.
Chez AWS, nous comprenons l'importance d'éduquer les clients sur les meilleures pratiques en matière d'architecture. Cela vous permettra de veiller à ce que les domaines fondamentaux ne soient plus négligés
Le cadre Wel-Architected vous fournira une approche cohérente pour évaluer vos architectures et vous permettra également de mesurer l’efficience de vos charges de travail et d'effectuer des examens connexes pour tous vos besoins en matière de technologie et de gouvernance dans l'ensemble de l'organisation, devenant ainsi un lieu central pour les meilleures pratiques en matière d'architecture.
Sélectionner et planifier la mise en œuvre d’un cadre de sécurité ne sont que les deux premières étapes d’un un processus d’amélioration continue.
L’objectif? En accroissant la vitesse d’amélioration de votre posture de sécurité, vous augmenterait encore plus la fiabilité de vos charges de travail et des services qu’elles rendent à vos clients. En effet même un système hautement disponible ne peut pas délivrer de valeur si sa logique d’affaire a été modifiée de manière non autorisée et non détectée.
Quelles sont les ressources AWS additionnelles pouvant vous guider sur une mise en œuvre sûre et réussie?
L’architecture de référence pour la Sécurité dans AWS est une ligne directrice globale pour le déploiement des services de sécurité AWS dans un environnement multi-comptes.
Vous pouvez l'utiliser pour aider à concevoir, mettre en œuvre et gérer les services de sécurité AWS afin qu'ils s'alignent sur les pratiques recommandées par AWS.
Ce document répond à la question
Où ces services devraient-ils être fournis ?
Comment organiser les services de sécurité AWS
Comment puis-je intégrer avec mes charges de travail?
A noter que depuis Septembre dernier, vous pourrez aussi retrouver notre architecture de référence pour la protection des données personnelles. Ce document est un complément à l’architecture de référence pour la Sécurité qui décrit toutes les fonctions et gabarits recommandées pour le masquage, le chiffrement, et le contrôle d’accès à ces données sensibles.
.
AWS a créé des outils pour vous aider à identifier et à protéger vos actifs contre les risques, à détecter les incidents de sécurité et à y répondre, et enfin à revenir à l'état opérationnel.
Dans chaque domaine, nous fournissons les outils et les services nécessaires pour atteindre cet objectif.
Exemple : si un système est compromis et qu'il communique avec un hôte étranger. Les services d'enquête pourraient vous aider à déterminer quel était le point d'entrée, par exemple, ce système est compromis en raison d'une règle de pare-feu ouvert qui autorisait la connexion SSH à un système d'exploitation vulnérable. L'adversaire exploite le serveur et installe un agent qui rappelle.
Récupération, restauration..
Problèmes : fichier endommagé ou non compatible avec la nouvelle version de votre application.
Cette structure est basée sur le CSF (cadre de cybersécurité) du NIST
Landing Zone Accelerator on AWS est une solution logicielle open source qui accélère la mise en œuvre des contrôles techniques de sécurité et de la base de l'infrastructure d'un client sur AWS.Il sert de modèle de configuration pour les clients AWS opérant dans des segments de marché réglementés et répond à notre objectif de simplifier et d'accélérer les parcours infonuagiques des clients réglementés en les aidant à déployer rapidement une base cloud sécurisée, conforme, évolutive et entièrement automatisée.
Nous recommandons aux clients de déployer AWS Control Tower comme zone d'atterrissage fondamentale et d'améliorer leurs capacités avec l'accélérateur de zone d'atterrissage.
Vous pouvez l'installer directement dans votre environnement, ce qui vous donne un accès complet à la solution d'infrastructure sous forme de code (iAc). Ensuite, configurez des fonctionnalités supplémentaires, des contrôles et ainsi de suite, au moyen d'un ensemble simplifié de fichiers de configuration.
https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/
AWS Audit Manager vous aide à associer vos exigences de conformité aux données d'utilisation AWS grâce à des cadres prédéfinis et personnalisés ainsi qu’à la collecte automatisée des preuves. Vous sélectionnez un cadre, comme SOC2 ou PCI DSS, puis définissez une portée, collectez des preuves et générez des rapports avec des liens vers ces preuves.
Notez que cela couvre uniquement l'infrastructure AWS ; si vous avez des charges de travail ou des processus opérationnels (comme une politique de bureau propre) ailleurs, comme sur site, vous pouvez ajouter des preuves manuelles et contribuer à la valeur du rapport final.
Le choix de l'approche et du modèle qui convient le mieux dépend de votre auditoire, des résultats opérationnels cibles et du processus opérationnel global. Il est possible d'utiliser un mélange de plusieurs modèles.
Ici, nous soulignons l'approche du modèle de maturité de sécurité AWS, qui se concentre sur la gestion et la réduction des risques en donnant la priorité à la mise en œuvre de mesures de sécurité. Cette approche convient bien aux directeurs de la sécurité et aux directions informatiques, mais elle n'est pas axée sur les affaires.
Avantages du modèle de maturité :
Est un modèle qui met l'accent sur l'utilisation d'une approche de mise en œuvre basée sur l’agilité
Vous aide à réduire rapidement les risques
S'aligne sur le cadre d’AWS Well Architected
Inconvénients du modèle de maturité :
Il est axé sur la technologie plutôt que sur les affaires
C'est là que vous devez vous assurer de garder à l'esprit le contexte commercial et industriel, ainsi que les exigences de conformité spécifiques, pour assurer une approche bien équilibrée.
https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-accelerating-security-maturity/choosing-a-security-model.html
Throughout this presentation, we haven’t yet touched on the “people” part of the people/process/technology model.
Let’s dive into an important part of the people aspect to cybersecurity – organizational culture.
Comme l’a dit Jeff Bezos, “Les cultures ne sont pas tant planifiées qu'elles évoluent à partir d’une première série de personnes.
Mais qu'est-ce que la culture ? La culture organisationnelle peut être considérée presque comme un iceberg — la partie visible au-dessus de l'eau (artefacts) impliquant des couches plus profondes et cachées sous l'eau, qui sont les valeurs et les hypothèses des gens.
Les artefacts peuvent être « l'architecture, la technologie, l'aménagement du bureau, le code vestimentaire, les modèles de comportement visibles ou audibles et les documents publics comme les manuels d'orientation des employés » d'une organisation.
Les valeurs sont les « raisons ou les rationalisations pour lesquelles les employés se comportent comme ils le font au sein d’une organisation ».
Les hypothèses sont alors « généralement un modèle inconscient qui détermine la façon dont les membres du groupe perçoivent, pensent, et ressentent.
--
https://mitsloan.mit.edu/ideas-made-to-matter/5-enduring-management-ideas-mit-sloans-edgar-schein :
Photo by SIMON LEE on Unsplash
Dans l'industrie de la cybersécurité, les humains ont été présentés comme le maillon faible de la cybersécurité, mais récemment que nous voyons les dirigeants adopter une approche de plus en plus centrée sur l'humain en matière de cybersécurité,
S'attaquer à une culture de la cybersécurité est une façon de renforcer cet élément humain, en influençant les valeurs et les hypothèses des employés en matière de cybersécurité.
Tout d'abord, vous voulez faire une analyse de rentabilisation et obtenir l'adhésion des dirigeants, et vous assurer que vous disposez de mesures pour le faire.
Vous devez également veiller à ce que l'environnement soit sûr et propice à l'apprentissage
Un espace sûr est une engagement partagé au sein d'une équipe ou d'une organisation selon laquelle une personne peut prendre la parole, prendre des risques et exprimer des idées ou des préoccupations sans subir de représailles ou de jugement
Et comme pour tous les nouveaux sujets, vous devez diriger avec empathie et vous assurer d'avoir une compréhension approfondie des besoins et des objectifs de votre auditoire.
Certains mécanismes permettant de changer la culture sont la sensibilisation et la formation, bien sûr, la mise en place d'un programme de champions de la cybersécurité, et un exemple provenant du sommet
Il est essentiel de s'assurer que vous avez l'adhésion des dirigeants et de votre auditoire, alors assurez-vous de concevoir à reculons à partir de l'expérience client et des objectifs commerciaux pour faire valoir votre point de vue lors du déploiement de nouveaux programmes axés sur le renforcement de l'élément humain
L'objectif de l'établissement d'une culture axée sur la sécurité est de cultiver cet état d'esprit axé sur la sécurité.
Pour ce faire, nous devons reconnaître que c'est une tâche complexe — nous, les humains, sommes complexes ! Et il n'y a pas d'approche unique qui fonctionnera avec toutes les équipes ou tous les départements, sans parler de toutes les entreprises ou industries.
Il est important d'équilibrer les besoins de l'entreprise, la rapidité de l'innovation par rapport à la sécurité. Il est nécessaire de chercher à tirer parti de la sécurité comme moyen de responsabiliser les entreprises au lieu d'être un obstacle.
Selon un rapport d'Andrew Moore / Carrie Gardner / Denise Rousseau, « l'engagement accru des employés réduit le risque de menace interne et favorise la sensibilisation à la sécurité ».
Mettre l'accent sur le renforcement de l'élément humain fonctionne !
----
“Source: “Reducing Insider Risk Through Positive Deterrence Report,” by Andrew P. Moore, Carrie Gardner, and Denise M. Rousseau, Ph.D.”
Parlons des programmes de champions de la cybersécurité.
Les champions de la cybersécurité sont des employés qui ne sont n’ont pas cette spécialité mais qui connaissent bien le domaine et sont intéressés à s’y investir.
Ces champions incorporent leurs connaissances en matière de sécurité dans les processus et peuvent les utiliser pour influencer les décisions opérationnelles au sein de leurs équipes ou de leurs départements pour prendre des décisions éclairées en matière de sécurité qui mèneront à des lancements plus sûrs et à l’heure
AWS a notamment mis en place des champions pour les développeurs et les architectes. Ils servent d'extension à la fonction de Sécurité Applicative, renforçant la sensibilisation à la sécurité, et fournissant un mécanisme de rétroaction solide.
Nous appelons ce programme Gardiens de la Sécurité en raison de notre culture technologique — Les gardiens de la sécurité comme les gardiens de notre galaxie (nous avons beaucoup de programmes et de projets qui sont des références à la culture cinématographique). Vous pouvez nommer votre programme comme vous le souhaitez — Aligner-le sur votre propre culture pour le rendre amusant et pertinent
Voici quelques améliorations qui ont été apportées par le programme des gardiens de la sécurité.
Ces types de mesures peuvent être rapportés à la direction, ce qui vous aidera à obtenir l'adhésion continue de votre hiérarchie dans la croissance de ce programme.
Pour résumer, voici les avantages d'utiliser le champion de la sécurité comme mécanisme pour développer votre culture de la sécurité
- Donnez du pouvoir aux développeurs grâce à un programme champions (ou, comme nous les appelons, des gardiens AWS)
- Tirer parti des champions de la sécurité dans tous les secteurs d'activité pour promouvoir la prise de décision axée sur la cybersécurité dans tous les domaines de l'entreprise, et ainsi multiplier les connaissances par la formation et la sensibilisation
- Enfin, intégrer des connaissances en cybersécurité à votre processus de gestion des risques tiers — en responsabilisant vos secteurs d'activité par l'entremise de champions de la cybersécurité, vous pouvez modifier les exigences de sécurité au plus tôt dans le processus de sélection des fournisseurs, en vous assurant de travailler avec des entreprises qui partagent vos engagements pour la protection de vos données.
Chez AWS, nous avons lancé le programme de gardiens de sécurité des fournisseurs qui a fait exactement cela, en diffusant les connaissances et la passion pour la cybersécurité au sein des secteurs d'activité qui ont également travaillé avec les fournisseurs.