Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
L'infonuagique et les organismes publicsTactika inc.
L’infonuagique, le cloud, est un modèle incontournable de consommation de services TI
Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts
Quels sont les impacts ?
Quels sont les risques ?
Quels sont les facteurs de succès ?
Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
L'infonuagique et les organismes publicsTactika inc.
L’infonuagique, le cloud, est un modèle incontournable de consommation de services TI
Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts
Quels sont les impacts ?
Quels sont les risques ?
Quels sont les facteurs de succès ?
Cet ouvrage vient compléter et détailler le premier livre blanc Cloud Computing édité par Syntec Numérique en avril 2010.
Avec l’apparition dans les années 1980 de la virtualisation, de l’infogérance et de l’externalisation ; avec la démocratisation de l’informatique dans les années 90 ; et - au cours de la dernière décennie - avec la généralisation d’Internet, le développement des réseaux à haut débit, la location d’application, le paiement à l’usage et la quête sociétale de mobilité… on peut expliquer à rebours l’avènement du Cloud Computing (CC).
Le Livre Blanc « Cloud Computing » se veut avant tout didactique et pragmatique. Il a pour but d’apporter un premier éclairage sur un sujet passionnant et en plein devenir !
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
Ce support présente le Cloud Computing et permet de répondre à plusieurs questions :
Quelle est l’origine du Cloud Computing, quelles sont ses racines dans l'histoire du marché IT ?
Quelle est la promesse apportée par le Cloud, les bénéfices associés ?
Qu'entends t-on par Cloud Computing, son modèle technique (IaaS, PaaS, SaaS), son modèle organisationnel, ses critères d'éligibilité ?
Le support est complété par les interrogations persistantes des entreprises face au phénomène, les freins et les leviers identifiés par les DSI, et une étude de cas du gouvernement fédéral américain.
Le support a été élaboré en Juin 2011 puis réactualisé en 2014. Les principaux points développés restent encore valable aujourd'hui.
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Conférence d'une heure sur le cloud computing et son impact sur le marketing des acteurs et des services. Nous abordons aussi quelques aspects liés à l'innovation et à la prospective.
Introduction au Cloud computing: principes, modèles et enjeux.
Le lecteur pourra découvrir l'architecture de référence du Cloud computing ainsi que des informations succinctes sur l'état de l'art et du marché.
Plongez dans les architectures hybrides avec un scénario de bout en bout s'appuyant sur des briques disponibles dans le cloud et à demeure: BizTalk , Service Bus, Active Directory, Virtual Machines, .... Nous n'oublierons pas des patterns de résilience, de réversibilité, ...
Speakers : Benjamin Guinebertière (Microsoft), Arnaud Cleret (Digo-IT)
Cet ouvrage vient compléter et détailler le premier livre blanc Cloud Computing édité par Syntec Numérique en avril 2010.
Avec l’apparition dans les années 1980 de la virtualisation, de l’infogérance et de l’externalisation ; avec la démocratisation de l’informatique dans les années 90 ; et - au cours de la dernière décennie - avec la généralisation d’Internet, le développement des réseaux à haut débit, la location d’application, le paiement à l’usage et la quête sociétale de mobilité… on peut expliquer à rebours l’avènement du Cloud Computing (CC).
Le Livre Blanc « Cloud Computing » se veut avant tout didactique et pragmatique. Il a pour but d’apporter un premier éclairage sur un sujet passionnant et en plein devenir !
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
Ce support présente le Cloud Computing et permet de répondre à plusieurs questions :
Quelle est l’origine du Cloud Computing, quelles sont ses racines dans l'histoire du marché IT ?
Quelle est la promesse apportée par le Cloud, les bénéfices associés ?
Qu'entends t-on par Cloud Computing, son modèle technique (IaaS, PaaS, SaaS), son modèle organisationnel, ses critères d'éligibilité ?
Le support est complété par les interrogations persistantes des entreprises face au phénomène, les freins et les leviers identifiés par les DSI, et une étude de cas du gouvernement fédéral américain.
Le support a été élaboré en Juin 2011 puis réactualisé en 2014. Les principaux points développés restent encore valable aujourd'hui.
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Conférence d'une heure sur le cloud computing et son impact sur le marketing des acteurs et des services. Nous abordons aussi quelques aspects liés à l'innovation et à la prospective.
Introduction au Cloud computing: principes, modèles et enjeux.
Le lecteur pourra découvrir l'architecture de référence du Cloud computing ainsi que des informations succinctes sur l'état de l'art et du marché.
Plongez dans les architectures hybrides avec un scénario de bout en bout s'appuyant sur des briques disponibles dans le cloud et à demeure: BizTalk , Service Bus, Active Directory, Virtual Machines, .... Nous n'oublierons pas des patterns de résilience, de réversibilité, ...
Speakers : Benjamin Guinebertière (Microsoft), Arnaud Cleret (Digo-IT)
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECMicrosoft Technet France
Session de retour d'experience sur Windows Azure Big Compute à Supelec Metz: Portage de Linux à Windows et benchmark sur 512 coeurs d'un logiciel de traitement du signal de Supelec Metz. Session présentée par Antoine Poliakov d'ANEO et le prof. Stéphane Vialle de Supelec Metz. www.aneo.eu/ www.metz.supelec.fr/~vialle La plateforme Windows Azure Big Compute a été créée pour répondre aux besoins d'applications parallelisées impliquant des communications entre nœuds de calculs. Big Compute repose sur un cluster bâti autour de la solution HPCPack et interconnecté en infiniband. Dans le but d'explorer cette offre et la valeur ajoutée de cette infrastructure, ANEO a analysé les performances d’une application qui a été portée par ses soins à partir de Linux. Cette application de traitement du signal, développée et optimisée par Supélec, fait de la segmentation audio et présente deux niveaux de parallélisme. Le premier niveaux de parallélisme met en œuvre des threads à l’aide d’OpenMP tandis que le second met en œuvre des process (éventuellement distribués) et s’appuie sur MSMPI. Dans cette présentation, nous exposerons comment effectuer le portage d’une application HPC depuis Linux vers Windows Azure. Nous analyserons et discuterons ensuite les performances obtenues.
Speakers : Antoine Poliakov (ANEO), Pierre-Louis Xech (Microsoft France)
Windows Azure Web Sites, Cloud Services ou Virtual Machines ? Quelles technol...Microsoft
Dans cette session, nous présenterons les critères de choix importants qui vous permettront de déterminer le service Windows Azure le plus adapté pour l’hébergement d’une application web. Après avoir abordé les aspects techniques et tarifaires propres à Windows Azure, nous parlerons des différentes possibilités qui s’offrent à vous au niveau frameworks (accès aux données, retry-pattern, communication temps réel, …), le tout en prenant appui sur l’exemple de l’éditeur de logiciels Talentsoft, qui a fait ces choix pour l’une de leurs applications disponibles en mode Software as a Service.
Speakers : Julien Plée (TalentSoft), Benjamin Talmard (Microsoft France)
Le cloud computing est un concept qui consiste à déporter sur des serveurs distants des stockages et des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste de l'utilisateur. Plus précisément selon le National Institute of Standards and Technology (NIST), le cloud computing est l'accès via le réseau, à la demande et en libre-service à des ressources informatiques virtualisées et mutualisées.
Experiences of implementing Oracle SOA Cloud Service in mid 2016. Topics include: topologies; user and key management; SSL and certificates; provisioning automation (eProseed Accelerator for Oracle Cloud); monitoring post go-live, etc.
This presentation was delivered by Simon Haslam and Kiran Tailor at the UKOUG Tech16 conference in Birmingham on 5/12/16.
This document discusses how the TOGAF (The Open Group Architecture Framework) standard aligns with and supports Service Oriented Architecture (SOA). It provides examples of how each phase of the TOGAF Architecture Development Method (ADM) incorporates SOA concepts, such as identifying business services, defining service contracts, and mapping services to technology. The document also outlines benefits an organization can realize by using TOGAF to develop their SOA, such as linking business and IT perspectives and providing governance for SOA implementation.
Service-oriented architecture, or SOA, is well-known as a way to structure IT systems. It has obvious connections with enterprise-architecture: a key theme of TOGAF (The Open Group Architecture Framework) conferences has been about how IT-architecture underpins SOA. Yet SOA can - and must - be about more than just IT. The aim of this presentation is to extend SOA ideas to the whole enterprise, as "the service oriented enterprise" - and adapt the TOGAF ADM to suit.
[Presentation at TOGAF Conference, Glasgow, April 2008. Describes TOGAF 8.1, but most details apply as much to TOGAF 9. Copyright (c) Tetradian Consulting 2008]
On entend de plus en plus parler de « cloud computing ». Cette présentation représente une introduction à cette technologie. A la fin de la présentation, vous serez en mesure de définir le « cloud » et de présenter ses types et ses formes.
This document discusses key metrics and economics for a SaaS business model. It provides details on sales compensation, bookings targets, churn rates, margins. It examines how revenue is generated from a single salesperson over time. Graphics show how monthly recurring revenue grows as new salespeople are hired each month. Lowering churn rates can significantly impact long-term profits. Collecting payment upfront eliminates cash flow troughs. Sales complexity impacts customer acquisition costs, requiring higher prices and more approval steps. Regular product improvements provide feedback on customer happiness.
Método para otorgar el aval a Nicolás García Pedrajas, para las Primarias Abiertas para la Elección
de Candidatura a Presidencia de Gobierno por Izquierda Unida
Face à la prolifération des menaces qui pèsent sur le système d’information, l’axe de réponse passe par la sécurité du poste de travail. Au cours de cette session, un panorama des menaces et des contre-mesures sera dressé. Vous verrez, ensuite, comment mettre en œuvre les principes de base : configurations de sécurité, gestion des correctifs, audit et contrôle de la conformité… Enfin, différents scénarios d’amélioration seront présentés.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Réflexion sur la mise en oeuvre d’un projet de corrélationSylvain Maret
Séminaire du 9 mai 2006
Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?
2. Comment garantir la sécurité
dans le Cloud en tenant
compte de contraintes de
plus en plus accrues ?
2
ECP - EC Cloud Computing et Architecture
3. Introduction
Sécurité traditionnelle
Architecture du Cloud
Les risques
Le nouveau modèle de sécurité
Conclusion
Sommaire
3
ECP - EC Cloud Computing et Architecture
4. Introduction
Préoccupations majeures à l’adoption
Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
48%
42%
34%
29%
26%
24%
Sécurité des services
Craintes concernant l'accès, localisation aux données,
vie privée
Coûts variables et non prédictibles
Niveaux de service non adéquats (disponibilité,
performances, fiabilité)
Augmente le risque pour l'activité commerciale
Perception de perte de contrôle de l'IT et des choix
technologiques
% de réponses (3 choix permis / personne)
4
ECP - EC Cloud Computing et Architecture
5. Sécurité traditionnelle
Sécurité de l’information et gestion des risques
Gestion des identités et des accès
Sécurité physique
Cryptographie
Sécurité des architectures
Sécurité des infrastructures
BCP/DRP
Sécurité applicative
Sécurité opérationnelle
Aspects légaux
5
ECP - EC Cloud Computing et Architecture
6. ECP - EC Cloud Computing et Architecture
Sécurité de l’information
Sécurité de l’information et gestion des risques
Rôles et responsabilités – Approche Top-Down
Objectifs – Confidentialité – Intégrité – Disponibilité
Classification des données
Analyse de risques
Sensibilisation des utilisateurs
6
7. Accès - Sécurité Physique - Chiffrement
Gestion des identités et des accès
Triple AAA - Authentification, Autorisation, Accounting
Types d’authentification - Connaître - Être - Avoir - Forte
Contrôles administratifs, physiques, techniques
Traçabilité
Sécurité physique
Protection contre la destruction physique, le vol, le vandalisme
Environnement naturel (zone sismique) ou artificiel (climatisation,
énergie)
Cryptographie
Confidentialité, authentification, intégrité
Deux types: symétriques et asymétriques
Chiffrement des flux (TLS, IPSEC) ou du stockage (PGP)
7
ECP - EC Cloud Computing et Architecture
8. Sécurité Architecture/Infrastructure
Sécurité des architectures
The Orange Book (TCSEC) vs ITSEC
Critères Communs (EAL) ISO 15408
Sécurité des infrastructures
Ensemble des équipements (Routeurs, serveurs, Pare-feu…)
BCP/DRP
Analyse d’impacts business
Rôles et responsabilités, stratégies, tests et maintenance des
plans BCP/DRP
RPO/RTO
8
ECP - EC Cloud Computing et Architecture
9. Applicative / Opérationnelle - Légal
Sécurité applicative
Niveau de Maturité CMM
Majorité des attaques (CSS, Buffer overflow, SQL injection)
Sécurité opérationnelle
Mise en œuvre de la triade CIA
Aspects légaux
Patriot Act, GLBA, Federal Privacy Act
CNIL - D95/46/EC - Safe Harbor
HIPAA
Bale 2, Solvabilité 2, Sarbanes-Oxley , PCI-DSS
9
ECP - EC Cloud Computing et Architecture
10. Architecture Cloud
Modèle de déploiement
Impacts sur le modèle de sécurité
Jéricho Cloud Cube Model
Modèle de service
Impacts sur le modèle de sécurité
Curseurs de responsabilités
Sauf les données
Interne
IaaS
Privé
IaaS
Public
PaaS
Public
SaaS
Public
10
ECP - EC Cloud Computing et Architecture
11. Architecture Cloud - Les organismes
CSA
Security Guidance for Critical Areas
Cloud Computing Matrix
Bonnes pratiques
JERICHO FORUM
Les commandements
Les identités
La dé-périmetrisation
ENISA
Plutôt Européen
Evaluation du risque
NIST
11
ECP - EC Cloud Computing et Architecture
12. Les risques majeurs
Perte de gouvernance
SaaS
Très
critique
12
ECP - EC Cloud Computing et Architecture
13. Botnet as a service
Les risques majeurs
IaaS
Faiblement
Critique
PaaS
13
ECP - EC Cloud Computing et Architecture
14. Sécurité des API
Interfaces utilisateurs
Sécurité applicative
Initiés malveillants
Boîte noire des fournisseurs
Cascade de fournisseurs
Les risques majeurs
IaaS
Faiblement
CritiqueSaaS
PaaS
IaaS
Moyen
CritiqueSaaS
PaaS
14
ECP - EC Cloud Computing et Architecture
15. Les risques majeurs
Ressources et technologies partagées
Virtualisation - Essence même du Cloud
Sécurité des architectures
Pertes de données - Corrompues
L’impensable
Cycle des données
IaaS
Très
Critique
IaaS
Très
CritiqueSaaS
PaaS
15
ECP - EC Cloud Computing et Architecture
16. Les risques majeurs
Hijacking ou usurpation d’identités
Hameçonnage, ingénierie sociale, fraude
Peu d’authentification forte
Conformité des données
Responsabilités des données et des traitements
Coopération entre pays
Traçabilité
Audit
Exigences réglementaires métiers
IaaS
Très
Critique
IaaS
Moyen
CritiqueSaaS
PaaS
SaaS
PaaS
16
ECP - EC Cloud Computing et Architecture
17. Les risques majeurs
Récupération des données
BCP/DRP
Architecture du fournisseur
Délai de reprise
Localisation des données
Répartition sur plusieurs pays
Absence de localisation
Fournisseur Américain
IaaS
Faiblement
Critique
IaaS
Très
CritiqueSaaS
PaaS
SaaS
PaaS
17
ECP - EC Cloud Computing et Architecture
18. Les risques majeurs
Délit financier
Attaque concurrentielle
Impact financier direct
Retour du terrain
Grosses entreprises du CAC40
Risques inacceptables
Perte de gouvernance
Perte de données
Localisation des données
IaaS
Faiblement
Critique
18
ECP - EC Cloud Computing et Architecture
19. Le modèle de sécurité Cloud
Les 13 domaines de la CSA
Bonnes pratiques pour fournisseurs et clients
Outil pour une analyse de risques
Redéfinit les domaines de sécurité en deux catégories
Gouvernance
Management du risque
Aspects légaux
Audit et conformité
Management de l’information et sécurité des données
Interopérabilité et portabilité
Domaines Opérationnels
BCP/DRP
Opération dans les centres de données
Réponses aux incidents, notification et résolution
Sécurité des applications
Encryptions et gestion de clefs
Gestion des identités et contrôle d’accès
Virtualisations
Security as a service
19
ECP - EC Cloud Computing et Architecture
20. Les réponses aux risques
Politique de sécurité interne
50% absence ou faiblement protégé
Le danger vient à 80% de l’intérieur
Des centaines de bonnes pratiques
Plusieurs degrés de certifications possibles
Règlementations légales ou métiers
QUE FAIRE ?
20
ECP - EC Cloud Computing et Architecture
21. L’analyse de risques du Cloud
La démarche d’analyse de risques
Classifier les données
Coûts associés
Sensibilisation des utilisateurs
Sélectionner les applications
Immédiatement
Possible mais plus tard
Attendre et réfléchir
Confidentiel
Privé
CLOUD
Sensible
Public
21
ECP - EC Cloud Computing et Architecture
22. L’analyse de risques du Cloud
Evaluation de la tolérance au
risque de l’entreprise
Approche systémique
Le questionnaire du DG
Assisté par le RSSI
L’ensemble des domaines
Evaluation des risques pour la solution CLOUD
RSSI, Architecte métiers, systèmes, réseaux, applicatifs
Très détaillés
Domaines du CSA
Pour chaque application
22
ECP - EC Cloud Computing et Architecture
24. L’analyse de risques du Cloud
Correspondance
24
ECP - EC Cloud Computing et Architecture
25. L’analyse de risques du Cloud
Stratégies d’atténuation
Evaluation des risques résiduels
GO / NO GO
Réduction du risque
Contre-mesures
Transfert du risque
SLA, clauses
particulières, pénalités,
assurance
Evitement du risque
Pas de déploiement, on
change de modèle
d’architecture
Acceptation du risque
On prend le risque
25
ECP - EC Cloud Computing et Architecture
26. Conclusion
Interne CLOUD
100% sécurisé Gouvernance
Sécurité physique Coffre-fort
Risques utilisateurs Sensibilisation
Risques technologiques Professionnels
Conformité et lois Andromède, ECP
SLA Professionnels
Audit ISO27001, SOC1 type II
Standards En bonne voie
Modèle hybride Compromis
26
ECP - EC Cloud Computing et Architecture