Ce document traite des enjeux de la sécurité du cloud, abordant les préoccupations des entreprises sur les contrôles de sécurité, les tests de pénétration et la conformité aux réglementations. Il explore les différentes solutions de cloud (IaaS, PaaS, SaaS) et propose des recommandations pour intégrer la sécurité dans la conception et la gestion des projets cloud. Des normes, des certifications et des approches spécifiques sont également mentionnées pour assurer une protection adéquate des données personnelles et une gouvernance efficace.

1. sécurité du Cloud
…un nuage à multiples facettes
CERT-IST – Forum 2013
12/06/2013
Jean-François AUDENARD - @jeffman78
Cloud Security Advisor - Orange Business Services

2. questions from the field
“please answer our “80-100”
questions” form to explain what
security controls are in place and
how they’ve been implemented ”
- a large French company in the hotel services
- a important company in the production of TV programs/shows
“our internal policy requires a
penetration test of your cloud
infrastructure/services before using
them”
- a French company in the energy distribution sector
- a worldwide company in the oil & gas industry
“how is secured my corporate
IPVPN network when connecting it
together with VPN Galerie ?”
“how are secured data stored in your
cloud platforms from Orange
administrators prying eyes ?”
- a European company in the public works sector
- a service provider in the telecom industry
“we require our data to stay in France and
to be sure that they won’t be impacted by
the Patriot-Act”
- a French company in the industry
2

3. part 1
Introduction

4. Pervasive, reliable and secure network connectivity
Cloud Security
Security
OF
the Cloud
Security
FOR
the Cloud
Security
IN
the Cloud
4

5. 5
concentration
des risques
convergence des
métiers
sous-traitance
cachée/masquée
perte de
gouvernance
contractualisation
à 360°
extension et
multiplication du
périmètre
impacts de
l’internationalisation
criticité
des accès
réseaux
ce qui
change

6. 6
IaaS & PaaS
 La DSI poussent les
usages
 Démarche unifiée car
peu de fragmentation
des fournisseurs
 Nécessité de
promouvoir le
catalogue de services
Interne auprès des
directions
 Mise en œuvre
possible en interne
DSI : au volant
SaaS
 Ce sont les directions
métiers qui poussent
 devant le fait
accompli (Shadow-IT)
 Solutions internes
rarement
envisageables
 Sécurisation
compliquée
DSI : siège passager
un monde bipolaire

7. Safe Harbor
7
Privacy
Program
Verification
Amazon None In house
Google None In house
LinkedIn TRUSTe TRUSTe
Microsoft TRUSTe In house & Third Party
SalesForce TRUSTe Third Party – (TRUSTe)
Dropbox None Third Party (TRUSTe)
http://en.wikipedia.org/wiki/TRUSTe

8. entre vie privée et intelligence économique
8
FISA
1978
Patriot-Act
2001 (2006)
FISAA
2008 (2012)
?

9. données à caractère personnel
la tendance EU
9
 Déclaration des brèches
 Vers un équilibrage Contrôleur/Processeur
 Contrôleur
 Analyse de risque en amont
 Stratégie de sécurité formalisée dans contrat
 Processeur
 Co-responsable si pas en mesure de montrer
que ce qui était demandé a été fait

10. part 2
security OF the Cloud

11. construire ou souscrire ?
niveau de partage
infrastructuredédiée
+ -
-
+
maitrisedelasécurité
-
+
+ -
Private cloud
Public Cloud
risques potentiels
Community
cloud
Hybrid cloud
11

12. répartition et transparence
 Définir le niveau de
management
 Préciser les rôles et
responsabilités (RACI)
 Contractualiser
 Procéder à sa mise en œuvre
 En assurer le pilotage &
reporting
IaaS « Fully Managed »
Level of responsability
Datacenter
Network & servers
Hypervisor
VM
OS
Application server
Application
Managed by the provider
Managed by the customer
1
1 « Pure » Iaas
2
2 Iaas « OS managed »
3
3
IaaS « AppSvr managed »
4
4 IaaS « Fully Managed »
12

13. Standardisation - ISO
13
ISO/IEC 27017
Guidelines for information security controls
associated with cloud computing services by
providing:
- additional implementation guidance for relevant
information security controls specified in ISO/IEC
27002, and
- additional controls and implementation guidance
that specifically relate to cloud computing services.
ISO/IEC 27018
Code of practice for data protection
controls for public cloud computing
services
(Code of practice for PII protection in public
clouds acting as PII processors)

14. CSA – STAR Certification
14
The open certification framework is structured on 3 LEVELs of
TRUST, each one of them providing an incremental level of
visibility and transparency into the operations of the Cloud Service
Provider and a higher level of assurance to the Cloud consumer.

15. part 3
security FOR the Cloud

16. 16
SaaS – Challenges & leviers
Criticité des accès réseau Redondance, interco privée
Elasticité, protection contre DDoS
Contrôle d’accès, confidentialité
Fédération d’identité
Authentification double facteur
Accès aux logs
Chiffrement données « at-rest »
Portabilité/réversibilité
Format ouverts
Disponibilité d’API
Clauses contractuelles
Evolutions fonctionnelles Clauses contractuelles
Conformité/transparence tests d’intrusion
Auditabilité, certifications

17. 17
IaaS – Challenges & leviers
Criticité des accès réseau Redondance, interco privée
Elasticité, protection contre DDoS
Portabilité/réversibilité
Format ouverts
Disponibilité d’API
Clauses contractuelles
Conformité/transparence tests d’intrusion
Auditabilité, certifications
Sécurité périmétrique
Inter-VM threats
Interfaces de gestion (www/API)
Firewalling & IPS virtualisés/phys.
Accès aux logs (Mgt / flux)
Contrôle d’accès, confidentialité
Fédération d’identité
Authentification double facteur
Accès aux logs
Chiffrement « Full VM »

18. sécurité IaaS – 3 approches (1/3)
18
FW
Tenant A
Switch(s)/Routeur(s)
Firewall matériel
Contextes virtualisés
Interfaces réseau
FW
Tenant B
Management
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Tenant B
VM-1
NIC
VM-2
NIC
…
Virtualisation
N N N N N N
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
firewall matériel avec contextes virtualisés

19. sécurité IaaS – 3 approches (2/3)
19
Switch(s)/Routeur(s)
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Tenant B
VM-1
NIC
VM-2
NIC
…
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
VM
Firewall
N N N
Hyperviseur
appliance virtuelle firewall

20. sécurité IaaS – 3 approches (3/3)
20
Switch(s)/Routeur(s)
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Cloud Provider
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
Hyperviseur
VM
Firewall
N N NN…N
Firewalling intégré à l’hyperviseur

21. part 5
Recommandations

22. éléments essentiels d’un contrat cloud
France Telecom confidential22
Transparence de la
stratégie sécurité Disponibilité et
redondance
Clauses de
réversibilité
sécurité des
consoles de
gestion et API
IAM
Accès réseaux
are you
cloud ready ?
localisation
géographique &
nationalité du CSP
gouvernance
Intégration de la sécurité
dans le contrat

23. le coin du documentaliste
23
données à caractère personnel
contractualisation
appréhender les risques, définir sa
stratégie et la dérouler
Cloud Computing
Risk Assessment
CIGREF

24. continuons l’échange
@orangebusiness
http://bit.ly/blogsecu
24

25. des questions ?
des réponses !

26. Build security-in
from
the start of the
project
Train your team
and educate
others to cloud
security
Integrate security in
existing processes
Get intimate with
cloud IT & ops
Take network & IT
convergence as
an opportunity
Select your compliance
frameworks & stick with
them
6 recommandations clefs
26

27. la sécurité au coeur d'un projet Cloud
27
Security Managers
 review changes
 enforce the policy
 manage incidents
 ensure compliance
 lead the 27K ISMS
Cloud Security Architects
 own security design
 define mitigation measures
 validate implementation
 ensure manageability
Governance
 define security strategy
 global oversight
security risk
assessment
risks mitigation plan
high-level risks assessment
legal
obligations
assessment
design
thinkcloud security strategy definition
security impl.
assistance security
reviewssecurity penetration
tests
build
&
deploy
operational security &
continuous improvement
operate
build