Le document traite des défis sécuritaires liés à l'informatique en nuage, en abordant les concepts clés du cloud et ses avantages, ainsi que les risques spécifiques tels que la protection des données et la conformité. Il propose une méthodologie pour une transition sécurisée vers le cloud, y compris l'analyse financière et la définition des critères de sélection des fournisseurs. Enfin, il met en avant l'importance d'une culture cloud au sein des entreprises et indique les rôles des divers acteurs, tels que les opérateurs télécoms et les banques, dans ce processus.

1. Cloud Computing et les Nouveaux
Défis Sécuritaires
Ing. Dir Mohamed Wassel Belhadj
CISSP, Enterprise Architect, ICT & Infrastructure Expert

2. Agenda
 Cloud Economics
 Cloud Computing Concepts
 Les nouveaux Challenges Sécuritaires du Cloud
 Les avantages sécuritaires du Cloud
 La Démarche sécurisée vers le Cloud
 La Culture Cloud
 Q&A

3. Cost of Traditional Data Centers
 11.8 million servers in data centers
 Servers are used at only 15% of their capacity
 800 billion dollars spent yearly on purchasing and maintaining
enterprise software
 80% of enterprise software expenditure is on installation and
maintenance of software
 Data centers typically consume up to 100 times more per square
foot than a typical office building
 Average power consumption per server quadrupled from 2001 to
2006.
 Number of servers doubled from 2001 to 2006

4. Energy Conservation and Data
Centers
 Standard 9000 square foot costs $21.3 million to build with $1
million in electricity costs/year
 Data centers consume 6% worldwide Electricity in 2000 and 1% in
2005
 Green technologies can reduce energy costs by 50%
 IT produces 2% of global carbon dioxide emissions
 “If you move your data centre to a cloud provider, it will cost a
tenth of the cost.” – Brian Gammage, Gartner Fellow

5. Charactéristiques du Cloud
• On-demand self-service
• Ubiquitous network access
• Resource pooling
• Location independence
• Rapid elasticity
• Measured service

6. Modèles de Services
• Cloud Software as a Service (SaaS)—Use provider’s
applications over a network.
• Cloud Platform as a Service (PaaS)—Deploy customer
created applications to a cloud.
• Cloud Infrastructure as a Service (IaaS)—Rent
processing, storage, network capacity, and other
fundamental computing resources.

7. Modèles de Déploiement
• Private cloud—Enterprise owned or leased
• Community cloud—Shared infrastructure for specific
community
• Public cloud—Sold to the public, mega-scale
infrastructure
• Hybrid cloud—Composition of two or more clouds

8. Cloud Architectures
Les Ingrédients
Utility
Computing
Autonomic
Computing
Grid
Computing
SOA
Software /
Apps
Infrastructure
+ Broadband

9. Cloud Architectures
Jericho Cloud Cube
• Point out that not everything is best implemented in
clouds; it may be best to operate some business
functions using a traditional non-cloud approach.
• Explain the different cloud formations that the Jericho
Forum has identified.
• Describe key characteristics, benefits and risks of each
cloud formation.
• Provide a framework for exploring in more detail the
nature of different cloud formations and the issues that
need answering to make them safe and secure places
to work in.

10. Cloud Architectures
Jericho Cloud Cube
The Jericho Cloud Cube Model describes the model for cloud computing as
having four “dimensions”:
• Internal (I)/External (E) — Defines the physical location of the data. If it is
within your own physical boundary then it is Internal, if it is not within your
own physical boundary then it is External.
• Proprietary (P)/Open (O) — Proprietary means that the organization
providing the service is keeping the means of provision under their
ownership.
• Clouds that are Open are using technology that is not proprietary, meaning
that there are likely to be more suppliers.
• Perimeterized (Per)/De-perimeterized (D-p) Architectures — Inside your
traditional IT perimeter or outside it? De-Perimeterization has always
related to the gradual failure/removal/shrinking/collapse of the traditional
silo-based IT perimeter.
• Insourced/Outsourced — Outsourced: the service is provided by a third
party Insourced: the service is provided by your own staff under your
control.

11. Cloud Architectures
Jericho Cloud Cube

12. Nouveaux Challenges Sécurité

13. Les Risques Spécifiques du Cloud

14. Les Risques Spécifiques du Cloud
 Protection des données en transit
 Sécurité des données sur site
 Maintenir la conformité
 Assurer la protection des données privées
 Disponibilité et restauration des données

15. Les Challenges Sécuritaires du Cloud
 Privacy Issues
 Cloud Forensics / Incident Response (tools, organisation)
 Cloud Sourcing Perimeter: how to select data/process/system to
migrate
 Centrally Managing Identity and Access (Federation)
 Data Encryption (at-rest, in-flight), Key Management
 Knowledge / Architecture / Asset Management including Cloud
 Procurement Management all along cloud standardisation (non
proprietary implementation of cloud / Cloud Portability: how to make
sure?)
 How to define efficient Roll-Back at no charge
 Cloud security issues may drive and define how we adopt and deploy
cloud computing solutions

16. Les Avantages de la Sécurité dans le
Cloud
 Les Fournisseur de Cloud peuvent déployer les meilleures solution
sécuritaires du marché et recruter les meilleures ressources et experts.
 Les grands fournisseurs de Cloud ont souvent les moyens de détecter
et de se défendre contre des risques et des vulnérabilités d’une
manière plus rapide et plus efficace que de petites institutions
individuelles.
 Les infrastructures offertes par les fournisseurs du Cloud permettent
une meilleure résilience et disponibilité du service du à leur scalabilité
et leur modularité (virtualisation) Meilleure défence contre les attack
DOS.
 Les entreprises peuvent économiser leur budget de Sécurité ICT en
transférant quelques responsabilités sécuritaires vers le Cloud.
 Les entreprises gagnent plus de disponibilité de leurs services à
travers la haute disponibilité dispercée des plateformes Cloud.

17. Aller vers le Cloud

18. La Démarche Sécurisée vers le Cloud
 Etude Financière de la démarche vers le Cloud (TCO,
ROI, Risk Analysis, etc)  By-In
 Injecter la démarche dans la stratégie entreprise
 Disposer d’une méthodologie de Sourcing (avec mesure
des KPIs)
 Définir le scope et les métriques (SLA) de la “Cloudisation”
(Jericho Cube)
 Définir des critaires de sélection des fournisseurs /
partenaires Cloud
 Négocier un Bon Contrat (SLA, KPI, Roll-Back)
 Réorganiser les équipes en conséquence (Procurement,
Controle, Architecture, Audit, SMO)  COBIT

19. La Démarche Sécurisée vers le Cloud
 Diffuser la culture Cloud (risque de Boycotting, sabotage,
désintéressement)
 Politiques de Sécurité révisées
 Processus (ITIL), Standards , Baselines révisés
 Démarche par étapes (POC)
 Assurer une démarche d’Architecture et de Knowledge
Management parallèle
 Contrôler , Communiquer, Apprécier..

20. Politique Sécurité du Cloud
Senior Management Statement of
Policy
General Organizational Policies
Functional Policies
Mandatory Standards
Recommended Guidelines
Detailed Procedures
Baselines

21. La Culture Cloud
 Client:
 Gèrer les SLA et le Procurement  Culture SMO
 Gérer le Knowledge Management
 Sécurité Physique versus Cyber versus Cloud (pas uniquement la sécurité
périmétrique)
 Fournisseur:
 Cryptage des données sur site ou en transit
 Certifications et Audits (ISO 27000, SAS 70, etc)
 Rôle des MSSP
 Gouvernement / Marché / Règlementations
 Modèle qui s’apprête bien au e-Gov
 Institution de cadre juridique pour la fourniture et la consommation des services cloud
 Institution de cadre juridique d’import/export des services Cloud
 Institution de cadre juridique pour l’encryptage des données / Protection des données
à titre privé
 Institution de cadre juridique pour le commerce et le payement électronique
 Insitation à la consommation des Services Cloud  Cost Saving + Green

22. La Culture Cloud
 Opérateurs Télécoms:
 Certains sont Prêts pour le cloud vu la modularité de leur infrastructure et la
culture Service Delivery et SLA
 Jouer le rôle de fournisseur (Service, Bande) / d’intermédiaire de confiance
 Enrichir les SVA et augmenter la marge par client tout en proposant des
services sécurisés et certifiés
 Banques:
 Assurer les moyens de payements sécurisés, modernes, rapides et efficaces
 Soutenir la consommation sécurisée des services clouds (Packaging des
services de sécurité pour mitiger le risque)