Téléchargé 19 fois
![[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...](https://cdn.slidesharecdn.com/ss_thumbnails/ppteventcloudbizzjan2017-170208091740-thumbnail.jpg?width=640&height=640&fit=bounds)
ECP_La_securité_dans_le_cloud
- 1. Executive Certificate Cloud Computingand Architecture Geoffroy Moens Juillet 2012 1
- 2. Comment garantir lasécurité dans le Cloud en tenant compte de contraintes de plus en plus accrues ? 2 ECP - EC Cloud Computing et Architecture
- 3. Introduction Sécuritétraditionnelle Architecture du Cloud Les risques Le nouveau modèle de sécurité Conclusion Sommaire 3 ECP - EC Cloud Computing et Architecture
- 4. Introduction Préoccupations majeuresà l’adoption Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants 48% 42% 34% 29% 26% 24% Sécurité des services Craintes concernant l'accès, localisation aux données, vie privée Coûts variables et non prédictibles Niveaux de service non adéquats (disponibilité, performances, fiabilité) Augmente le risque pour l'activité commerciale Perception de perte de contrôle de l'IT et des choix technologiques % de réponses (3 choix permis / personne) 4 ECP - EC Cloud Computing et Architecture
- 5. Sécurité traditionnelle Sécuritéde l’information et gestion des risques Gestion des identités et des accès Sécurité physique Cryptographie Sécurité des architectures Sécurité des infrastructures BCP/DRP Sécurité applicative Sécurité opérationnelle Aspects légaux 5 ECP - EC Cloud Computing et Architecture
- 6. ECP - ECCloud Computing et Architecture Sécurité de l’information Sécurité de l’information et gestion des risques Rôles et responsabilités – Approche Top-Down Objectifs – Confidentialité – Intégrité – Disponibilité Classification des données Analyse de risques Sensibilisation des utilisateurs 6
- 7. Accès - SécuritéPhysique - Chiffrement Gestion des identités et des accès Triple AAA - Authentification, Autorisation, Accounting Types d’authentification - Connaître - Être - Avoir - Forte Contrôles administratifs, physiques, techniques Traçabilité Sécurité physique Protection contre la destruction physique, le vol, le vandalisme Environnement naturel (zone sismique) ou artificiel (climatisation, énergie) Cryptographie Confidentialité, authentification, intégrité Deux types: symétriques et asymétriques Chiffrement des flux (TLS, IPSEC) ou du stockage (PGP) 7 ECP - EC Cloud Computing et Architecture
- 8. Sécurité Architecture/Infrastructure Sécuritédes architectures The Orange Book (TCSEC) vs ITSEC Critères Communs (EAL) ISO 15408 Sécurité des infrastructures Ensemble des équipements (Routeurs, serveurs, Pare-feu…) BCP/DRP Analyse d’impacts business Rôles et responsabilités, stratégies, tests et maintenance des plans BCP/DRP RPO/RTO 8 ECP - EC Cloud Computing et Architecture
- 9. Applicative / Opérationnelle- Légal Sécurité applicative Niveau de Maturité CMM Majorité des attaques (CSS, Buffer overflow, SQL injection) Sécurité opérationnelle Mise en œuvre de la triade CIA Aspects légaux Patriot Act, GLBA, Federal Privacy Act CNIL - D95/46/EC - Safe Harbor HIPAA Bale 2, Solvabilité 2, Sarbanes-Oxley , PCI-DSS 9 ECP - EC Cloud Computing et Architecture
- 10. Architecture Cloud Modèlede déploiement Impacts sur le modèle de sécurité Jéricho Cloud Cube Model Modèle de service Impacts sur le modèle de sécurité Curseurs de responsabilités Sauf les données Interne IaaS Privé IaaS Public PaaS Public SaaS Public 10 ECP - EC Cloud Computing et Architecture
- 11. Architecture Cloud -Les organismes CSA Security Guidance for Critical Areas Cloud Computing Matrix Bonnes pratiques JERICHO FORUM Les commandements Les identités La dé-périmetrisation ENISA Plutôt Européen Evaluation du risque NIST 11 ECP - EC Cloud Computing et Architecture
- 12. Les risques majeurs Perte de gouvernance SaaS Très critique 12 ECP - EC Cloud Computing et Architecture
- 13. Botnet asa service Les risques majeurs IaaS Faiblement Critique PaaS 13 ECP - EC Cloud Computing et Architecture
- 14. Sécurité desAPI Interfaces utilisateurs Sécurité applicative Initiés malveillants Boîte noire des fournisseurs Cascade de fournisseurs Les risques majeurs IaaS Faiblement CritiqueSaaS PaaS IaaS Moyen CritiqueSaaS PaaS 14 ECP - EC Cloud Computing et Architecture
- 15. Les risques majeurs Ressources et technologies partagées Virtualisation - Essence même du Cloud Sécurité des architectures Pertes de données - Corrompues L’impensable Cycle des données IaaS Très Critique IaaS Très CritiqueSaaS PaaS 15 ECP - EC Cloud Computing et Architecture
- 16. Les risques majeurs Hijacking ou usurpation d’identités Hameçonnage, ingénierie sociale, fraude Peu d’authentification forte Conformité des données Responsabilités des données et des traitements Coopération entre pays Traçabilité Audit Exigences réglementaires métiers IaaS Très Critique IaaS Moyen CritiqueSaaS PaaS SaaS PaaS 16 ECP - EC Cloud Computing et Architecture
- 17. Les risques majeurs Récupération des données BCP/DRP Architecture du fournisseur Délai de reprise Localisation des données Répartition sur plusieurs pays Absence de localisation Fournisseur Américain IaaS Faiblement Critique IaaS Très CritiqueSaaS PaaS SaaS PaaS 17 ECP - EC Cloud Computing et Architecture
- 18. Les risques majeurs Délit financier Attaque concurrentielle Impact financier direct Retour du terrain Grosses entreprises du CAC40 Risques inacceptables Perte de gouvernance Perte de données Localisation des données IaaS Faiblement Critique 18 ECP - EC Cloud Computing et Architecture
- 19. Le modèle desécurité Cloud Les 13 domaines de la CSA Bonnes pratiques pour fournisseurs et clients Outil pour une analyse de risques Redéfinit les domaines de sécurité en deux catégories Gouvernance Management du risque Aspects légaux Audit et conformité Management de l’information et sécurité des données Interopérabilité et portabilité Domaines Opérationnels BCP/DRP Opération dans les centres de données Réponses aux incidents, notification et résolution Sécurité des applications Encryptions et gestion de clefs Gestion des identités et contrôle d’accès Virtualisations Security as a service 19 ECP - EC Cloud Computing et Architecture
- 20. Les réponses auxrisques Politique de sécurité interne 50% absence ou faiblement protégé Le danger vient à 80% de l’intérieur Des centaines de bonnes pratiques Plusieurs degrés de certifications possibles Règlementations légales ou métiers QUE FAIRE ? 20 ECP - EC Cloud Computing et Architecture
- 21. L’analyse de risquesdu Cloud La démarche d’analyse de risques Classifier les données Coûts associés Sensibilisation des utilisateurs Sélectionner les applications Immédiatement Possible mais plus tard Attendre et réfléchir Confidentiel Privé CLOUD Sensible Public 21 ECP - EC Cloud Computing et Architecture
- 22. L’analyse de risquesdu Cloud Evaluation de la tolérance au risque de l’entreprise Approche systémique Le questionnaire du DG Assisté par le RSSI L’ensemble des domaines Evaluation des risques pour la solution CLOUD RSSI, Architecte métiers, systèmes, réseaux, applicatifs Très détaillés Domaines du CSA Pour chaque application 22 ECP - EC Cloud Computing et Architecture
- 23. L’analyse de risquesdu Cloud 23
- 24. L’analyse de risquesdu Cloud Correspondance 24 ECP - EC Cloud Computing et Architecture
- 25. L’analyse de risquesdu Cloud Stratégies d’atténuation Evaluation des risques résiduels GO / NO GO Réduction du risque Contre-mesures Transfert du risque SLA, clauses particulières, pénalités, assurance Evitement du risque Pas de déploiement, on change de modèle d’architecture Acceptation du risque On prend le risque 25 ECP - EC Cloud Computing et Architecture
- 26. Conclusion Interne CLOUD 100% sécuriséGouvernance Sécurité physique Coffre-fort Risques utilisateurs Sensibilisation Risques technologiques Professionnels Conformité et lois Andromède, ECP SLA Professionnels Audit ISO27001, SOC1 type II Standards En bonne voie Modèle hybride Compromis 26 ECP - EC Cloud Computing et Architecture
- 27. 27 ECP - ECCloud Computing et Architecture