AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Cet ouvrage vient compléter et détailler le premier livre blanc Cloud Computing édité par Syntec Numérique en avril 2010.
Avec l’apparition dans les années 1980 de la virtualisation, de l’infogérance et de l’externalisation ; avec la démocratisation de l’informatique dans les années 90 ; et - au cours de la dernière décennie - avec la généralisation d’Internet, le développement des réseaux à haut débit, la location d’application, le paiement à l’usage et la quête sociétale de mobilité… on peut expliquer à rebours l’avènement du Cloud Computing (CC).
Le Livre Blanc « Cloud Computing » se veut avant tout didactique et pragmatique. Il a pour but d’apporter un premier éclairage sur un sujet passionnant et en plein devenir !
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Le stockage à la mode cloud est partout. Quels en sont les principes ? Quelles sont les différentes techniques du stockage à la demande ? Comment optimiser ce stockage en cloud hybride ?
Speakers : François Tonic (Programmez! / cloudmagazine.fr ), Thomas Varlet (Microsoft), Philippe Berthot (Microsoft France)
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
Le concept de session est extrêmement important pour permettre aux applications Web de fournir une expérience personnalisée à ses utilisateurs. La session permet à l’utilisateur de ne pas avoir à faire transiger ses informations d’authentification à chaque requête, ce qui serait risqué. Par contre, la (mauvaise) gestion de la session ouvre la porte à plusieurs sortes de menaces. Durant cette présentation, quatre types d’attaques sur les sessions seront présentés ainsi que les bonnes pratiques pour se prémunir de ces problèmes. Entre autres, il sera question de « session hijacking » (différentes variantes), de « session fixation », de « session donation » et de « session puzzling ». D’autres sujets connexes seront aussi abordés comme le temps d’expiration des sessions et les complications liées à l’authentification de type authentification unique.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Cet ouvrage vient compléter et détailler le premier livre blanc Cloud Computing édité par Syntec Numérique en avril 2010.
Avec l’apparition dans les années 1980 de la virtualisation, de l’infogérance et de l’externalisation ; avec la démocratisation de l’informatique dans les années 90 ; et - au cours de la dernière décennie - avec la généralisation d’Internet, le développement des réseaux à haut débit, la location d’application, le paiement à l’usage et la quête sociétale de mobilité… on peut expliquer à rebours l’avènement du Cloud Computing (CC).
Le Livre Blanc « Cloud Computing » se veut avant tout didactique et pragmatique. Il a pour but d’apporter un premier éclairage sur un sujet passionnant et en plein devenir !
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Le stockage à la mode cloud est partout. Quels en sont les principes ? Quelles sont les différentes techniques du stockage à la demande ? Comment optimiser ce stockage en cloud hybride ?
Speakers : François Tonic (Programmez! / cloudmagazine.fr ), Thomas Varlet (Microsoft), Philippe Berthot (Microsoft France)
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Découvrez CrowdSec, la plate-forme d’automatisation de la sécurité, gratuite et open source, reposant sur l'analyse comportementale et la réputation des adresses IP. Elle analyse le comportement des visiteurs, identifie les menaces et protège les services numériques contre tout type d’attaques. La solution permet aussi aux utilisateurs de se protéger mutuellement. Chaque fois qu'une IP est bloquée, tous les membres de la communauté en sont informés. Déjà utilisée dans plus de 110 pays sur 6 continents, la solution constitue une base de données d’IP en temps réel qui profitera aux particuliers, aux entreprises, aux institutions, etc.
la sécurité dans le cloud est devenu un défis de toute organisation dans cet article nous présentons brievement les différents menaces liés aux cloud computing aussi les solutions pour sécuriser les données dans le cloud...
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...NBS System
Présentation support d'un atelier d'échanges sur le thème de la gestion de crise de sécurité informatique.
Évènement "Très Haute Sécurité", le 16 novembre 2017.
This presentation sums up the Magento vulnerabilities known to date, but also the classic exploitable methods that do not include specific flaws, and other potentially exploitable security flaws on Magento.
We will also show you how to secure the essential points for your Magento to be as safe as possible.
Magento performances 2015 best practicesNBS System
Magento has known many functional and technical updates, as well as major security flaws, in 2014 and 2015. Many clients wish to migrate their platforms to Amazon, and to set up ASGs (Auto Scaling Groups). This presentation shows the best practices we developped or saw our clients and partners set up during these years.
Le B2B est le prochain axe de croissance majeur pour l’e-commerce. Les pirates, à l’affût des nouvelles tendances, prennent également très au sérieux cette tendance.
NBS System vous expose les raisons fondamentales qui font que le B2B va devenir la cible principale des pirates, dès 2016. Nous révélerons comment et pourquoi notre témoin Brady Corp. a décidé de prendre les devants et de protéger ses clients face à cette nouvelle menace. Vous découvrirez pourquoi le B2B est si attractif pour les cybercriminels, leurs méthodes et les solutions permettant de sécuriser au mieux une activité B2B en ligne.
Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
After more than 6 months of analyses, dozens of interviews with editors and a tool developped internally to find out the market shares of each solution, our Benchmark of e-commerce solutions came out in 2013, screening 12 solutions through 160 pages.
The new version of this benchmark will be published in 2016.
Après plus de 6 mois d’analyses, des dizaines d’entretiens avec les éditeurs et un outil développé en interne pour déceler les parts de marché de chaque solution, notre Benchmark des Solutions e-commerce est sortie en juin 2013, passant au crible 12 solutions au travers de 160 pages.
La prochaine édition, actualisée, sera publiée en 2016.
La réussite d’un site de vente en ligne tient à de nombreux aspects ; avoir une activité e-commerce, c’est construire un grand puzzle où chaque pièce doit être à sa place. Le connecteur de paiement étant un maillon essentiel de cette chaîne, nous avons donc décidé d’en parler dans cet ouvrage.
Après plus d’un an de travail, NBS System publie son Livre Blanc des Connecteurs de Paiement en septembre 2014. Il a pour but d’aider les e-Commerçants à choisir facilement une solution adaptée à leur projet, tout en expliquant en détail les mécanismes des systèmes de paiement.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
3. ● Explosion des moyens d’apprentissage (Wikis, Youtube, Slack...)
● Explosion du nombre d’outils et de frameworks (gratuits et FOSS)
● Explosion du nombre d’hôtes sur Internet, opportunisme
● Le mythe du firewall
● Le web, cette faille
[Insérer un générique qui fait peur]
Tu ne le sais pas encore, mais tu es déjà mort
3
4. La vengeance du kid
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
Source : Digital attack map by Arbor networks
10
5. Où en est on ?
Qu’est ce qui mène à une perte de données sensibles ?
Source : Verizon Databreach report 2016
11
7. Le cloud « privé » :
modèle de déploiement dans lequel les services de cloud sont utilisés
exclusivement par un seul client, qui en contrôle les ressources.
Un cloud privé peut être mis en œuvre soit par l’organisation à laquelle
appartient le client soit par un prestataire externe. Un cloud privé a
vocation à borner précisément ses limites et à restreindre l’accès à
ses services à une organisation unique.
Quels sont les bénéfices du cloud ?
Source : http://siaf.hypotheses.org/656
AWS
13
8. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
14
9. Ce que nous faisons pour vous
Sécurité DANS le cloud : GÉRÉ PAR NBS SYSTEM
Sécurité DU cloud : GÉRÉ PAR AWS
15
12. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
Les clients contrôlent leur
contenu, les salariés AWS ne
sont pas autorisés à y accéder
Vous choisissez la Région où
vous stockez vos données,
AWS ne les déplace pas
AWS propose des « instances
dédiées » physiquement
isolées
17
13. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
18
14. Comment concilier sécurité et agilité ?
DevSecOps
Page 3 of 433
• Comité ?
• Procédures ?
• Check-lists ?
“Security as code”
19
15. Certifications & normes
16
C5 [Germany]
Cyber Essentials Plus [UK]
DoD SRG
FedRAMP
FIPS
IRAP [Australia]
ISO 9001
ISO 27001
ISO 27017
ISO 27018
MLPS Level 3 [China]
MTCS [Singapore]
PCI DSS Level 1
SEC Rule 17-a-4(f)
SOC 1
SOC 2
SOC 3
CISPE
EU Model Clauses
FERPA
GLBA
HIPAA
HITECH
IRS 1075
ITAR
My Number Act [Japan]
U.K. DPA - 1988
VPAT / Section 508
EU Data Protection Directive
Privacy Act [Australia]
Privacy Act [New Zealand]
PDPA - 2010 [Malaysia]
PDPA - 2012 [Singapore]
PIPEDA [Canada]
Spanish DPA Authorization
CIS
CJIS
CSA
ENS [Spain]
EU-US Privacy Shield
FISC
FISMA
G-Cloud [UK]
GxP (FDA CFR 21 Part 11)
ICREA
IT Grundschutz [Germany]
MITA 3.0
MPAA
NIST
PHR
Uptime Institute Tiers
UK Cloud Security Principles
Certifications /
Attestations
Lois / Règlementations
Données privées
Alignements /
Cadres
16. Protection native contre la plupart des DDoS
• 82 PoP CloudFront / Route53
• Filtrage natif de la plupart des
attaques volumétriques
• AWS WAF bloque dynamiquement
les requêtes illégitimes
• AWS Shield Advanced
Source: Arbor Networks
21
17. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
DevSecOps : automatisation de
la sécurité
Tous les services AWS seront
conformes au règlement RGPD
lorsque celui-ci entrera en
vigueur, le 25 mai 2018
AWS propose AWS Shield, un
service de protection DDoS,
sans frais supplémentaire
22
22. Deux partenaires, un seul but : votre sécurité !
• La sécurité DU cloud
• Modèle de responsabilité partagée
• Haute disponiblité
• La sécurité DANS le cloud
• OS
• Application
• Sécurité managée
27
23. Ce que NBS System sécurise pour vous
• Système d’exploitation (OS)
• Noyaux
• Daemons & tools (Apache, MySQL, etc.)
• Langages (Php, Python, Java, Go, etc.)
• Accès privilégiés (BO, SSH, …)
• Frameworks (Drupal, Wordpress, etc.)
• Developpement custom
• Flux entrants/sortants
28
24. Cerberhost est conçu pour éconduire l’attaquant, en lui faisant
comprendre que son attaque ne sera pas rentable, en termes de
temps comme de coût.
• 14 procédures humaines durcissent l’ensemble
• 37 protections techniques le bloquent
• 1 d’entre elles lui fait perdre un temps considérable :
le firewall dynamique
Une autre approche : ralentir, compliquer
29
28. Leur besoin :
• PCI/DSS V3 L1
• Worldwide
• Déploiement en 1 an
Notre réponse :
• Infrastructures UE : NBS System
• Infrastructures mondiales : AWS
• Même niveau de sécurité
• Mise en très haute sécurité + PCI-DSS de plus de 100
serveurs en 1 an
Brady Corp (NYSE:BRC)
29
29. … pour beaucoup plus
de sécurité !
30
Quelques habitudes à
changer...
30. Changer quelques habitudes…
Sans pour autant faire passer la sécurité avant le business :
• Être plus précis dans les procédures de publication
• Plus de mots de passe faibles
• Communications chiffrées des éléments sensibles
• Principe de moindre privilège
• Filtrage des IP entrantes et sortantes
31
31. Il faut disposer :
• de beaucoup de temps
• de beaucoup de ressources
• d’énormément de savoir-faire technique
pour espérer compromettre un serveur CerberHost sur AWS.
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemar pour les attaquants, afin de les dissuader.
… et nous augmenterons la difficulté pour
l’attaquant
32