SlideShare une entreprise Scribd logo
Enjeux de sécurité
 relatifs au cloud
                  v.1




                            Novembre 2012


 Tactika inc.
 •    clement.gagnon@tactika.com
 •    www.tactika.com
 •    @tactika
 •    http://ca.linkedin.com/in/tactika
Contenu de la conférence

   Marché, définitions et concepts
   Évolution et implantation
   Infonuagique et sécurité
   Risques et Facteurs de risque
   Mesures de contrôle




    La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et
    présentation ne doivent pas être interprétés comme étant une recommandation
    ou une promotion.
Enjeux de sécurité relatifs au Cloud           2
Le Cloud est-il incontournable ?

• Le cloud computing / informatique en nuage /
  infonuagique / informatique nuagière est un
  concept qui a dépassé le stade du «buzz
  word» pour devenir une réalité tangible et
  incontournable .
• Les TI seront profondément transformées
  dans les années à venir … à vrai dire, c’est déjà
  commencé !

Enjeux de sécurité relatifs au Cloud         3
Le marché


                                                                     http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html
                                      clement.gagnon@tactika.com
http://www.wordle.net/
Construit avec




                                                                                          http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html




                         Enjeux de sécurité relatifs au Cloud                                      4
Qu’est-ce que le Cloud Computing ?

           Le Cloud Computing est un modèle de prestation de services TI
            dématérialisée qui repose sur les technologies Internet et la
            virtualisation.
              Libre-service et sur demande
              Élastique, extensible (scalable)
              Accessible par un réseau de type TCP/IP (i*net)
              Partagé, multilocataire (multi-tenant)
              Utilisation mesurée ( éventuellement facturée )
              Niveau de service déterminé (entente de service / SLA )



           Analogie entre les TI et l’électrification
           Les services TI deviennent une commodité
Enjeux de sécurité relatifs au Cloud     5
Les bénéfices du Cloud
     Coût
       ►CTP (coût total de possession / TCO) réputé moindre que
         le modèle traditionnel
     Retour sur l’investissement / ROI rapide et tangible
       ► Coût facturé uniquement sur l’utilisation, demande peu
         d’effort de mise en œuvre
     Agilité et gestion simplifiée
       ► Mise en service rapide, disponible immédiatement
     Élasticité, extensibilité
       ► Gestion simplifiée de la capacité : automatisation des
         montées en charge et du délestage

Enjeux de sécurité relatifs au Cloud         6
Le modèle du Cloud vs
                       le modèle traditionnel

     Modèle traditionnel




                                         clement.gagnon@tactika.com
                                                                                     Cloud


              Organisation




                                       Organisation                                          Organisation
                                                                          Individu


Enjeux de sécurité relatifs au Cloud                                  7
Différence entre le Cloud et
                                              l’impartition

                                   Impartition
                                   Non partagé, un locataire
                                   Une entente de service / SLA spécifique




                                                                             Fournisseur
  Client
                                                   Cloud
                                                   Partagé, multilocataire
                                                   Même entente de service
                                                   /SLA pour tous




Enjeux de sécurité relatifs au Cloud                  8
Modèles de prestation de services
IaaS                                   PaaS                              SaaS
Infrastructure as a Service            Platform as a Service             Software as a Service
                                                                         Service as a Service
Service de traitement (CPU), de        Service de plates-formes          Service d’applications,
stockage ou réseautique                applicatives avec des fonctions   Services horizontaux tel que la
                                       programmables,                    facturation , surveillance,
                                       paramétrables, configurables      sécurité, etc.
Ex. Système d’exploitation
Windows Server 200X ou Linux,                                            Ex. CRM (software),
Espace de stockage                     Ex. Sharepoint, Typo3             anti-virus (service)


                                                Abstraction                          Software
                                                                                   (Application)


                                                 Plate-forme                        Plate-forme



            Infrastructure                      Infrastructure                     Infrastructure


                 IaaS                               PaaS                               SaaS

Enjeux de sécurité relatifs au Cloud                  9
Évolution du modèle de prestation de
                                       services
• BPaas / Business Process as a Service
       – BPaaS cible les processus métiers : paye, paiement en
         ligne, gestion financière
       – Sous division de SaaS concerne les applications logicielles
         accessibles dans le nuage
• Personnal Cloud
       – Ressources informatiques personnelles ou d’une PME
         accessible par Internet pour le partage de contenus
         (multimédia, document) avec diverses plates-formes
         (tablette, téléphone intelligent, ordinateur)


Enjeux de sécurité relatifs au Cloud   10
Les modèles de déploiement
        Cloud
        privé

                                           Organisation


Cloud public
                                                  Cloud privé
                                                                                                Organisation




                                                                   clement.gagnon@tactika.com
       Cloud public



                                       Cloud privé
                                                                 Cloud de
                                                                communauté
Enjeux de sécurité relatifs au Cloud         11
Les acteurs dans le modèle de prestation
                                          de services
                                                                                          Client / utilisateur
                                             Client / opérateur
Interface
de gestion




                                                                        Objet du client               Software
                                                                                                    (Application)
                                                   Objet du
                                                    client
      clement.gagnon@tactika.com




                                                                          Plate-forme               Plate-forme



                                                  Infrastructure         Infrastructure             Infrastructure
                                   Fournisseur
                                                      IaaS                   PaaS                       SaaS



                                    Opérateur

    Enjeux de sécurité relatifs au Cloud                           12
Vue fournisseur : partagé,
                                       multilocataire, virtualisation

                                        Fournisseur




                                                           clement.gagnon@tactika.com
  Opérateur



Enjeux de sécurité relatifs au Cloud                  13
«Chaîne» des tiers
          Client



                                        SaaS




                                                               clement.gagnon@tactika.com
                                    Software
                                  (Application)
    Fournisseur
           Client
                                   Plate-forme



                                  Infrastructure


                                        IaaS

Fournisseur                                    How Amazon Controls Ecommerce (Slides)

                                               http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29




 Enjeux de sécurité relatifs au Cloud                                                       14
Popularité des modèles de
                                             déploiement




Enjeux de sécurité relatifs au Cloud           15
Quel modèle de prestation de services ?

•     Utilisation de l’infonuagique en 2012 selon Gartner
       – Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup
         (37%),Hébergement web (34%)
        http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions



•    Selon KPMG


    Tendance




Enjeux de sécurité relatifs au Cloud                             16
Évolution du centre de données : de la
                             virtualisation à l’infonuagique
 Virtualisation             Virtualisation    Nuage privée     Nuage hybride    Nuage public
 des serveurs                distribuée

                                                Nuage privé




 Consolidation           Flexibilité        Libre-service    Montée en      Élimination du
 Capex                   Agilité            Normalisation   charge          Capex
                                              Métrique                         Grande flexiblité




Enjeux de sécurité relatifs au Cloud                17
Nuage privé, hybride et public
                                                             Virtualisation    Virtualisation    Nuage privée                           Nuage hybride    Nuage public
  Nuage public                                               des serveurs        distribuée

                                                                                                   Nuage privé




                Nuage
                privé                                       • Consolidation
                                                            • Capex
                                                                              • Flexibilité
                                                                              • Agilité
                                                                                                • Libre-service
                                                                                                • Normalisation
                                                                                                                                       • Montée en
                                                                                                                                       charge
                                                                                                                                                        • Élimination du
                                                                                                                                                        Capex
                                                                                                • Métrique                                              • Grande flexiblité
                                                      Organisation



                                                           Nuage privé




                                                                                                          clement.gagnon@tactika.com
                Nuage public


                                                      Nuage privé


Enjeux de sécurité relatifs au Cloud             18
Infonuagique et la sécurité
• Les trois principales préoccupations selon Gartner
   – Sécurité, Protection de la vie privée, Souveraineté des données
     http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions



• Selon KPMG




 Enjeux de sécurité relatifs au Cloud                        19
La perception du risque et le Cloud




En affaires, le risque est perçu  En sécurité de l’information, le risque
comme une opportunité ou comme un est perçu comme une menace qui
événement négatif.                exploite une vulnérabilité.

Les bénéfices du Cloud sont une              Les problèmes du Cloud :
opportunité. Une organisation peut                Les risques d’un tiers peuvent
démontrer un appétit et une tolérance            devenir mes risques ...
aux risques dans sa recherche                     Si plusieurs tiers sont impliqués,
d’opportunités.                                  les risques des tiers sont «chainés».



 Enjeux de sécurité relatifs au Cloud   20
Facteurs de risque

• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un
  facteur de risque
                                                          Gouvernance, risque
                                                          et conformité

                                                          Processus de gestion

                                                          Contrôle et opération




• Le degré d’intégration désigne l’envergure, l’étendue et la criticité du
  service Cloud.
           Exemple :
                 Service de mesure de disponibilité de sites Web (intégration faible, impact léger)
                 Service Web en arrière-boutique (intégration élevée, impact important)


Enjeux de sécurité relatifs au Cloud                 21
Modèle générique du risque
                        Surfaces d’attaque
Probabilité




                                                                                 Mesure(s)
                                   Menace(s)                                    de contrôle
                                                                                              Vulnérabilité(s)

                                                                           RISQUE
                                         clement.gagnon@tactika.com




                                                                          Impact(s)
                                                                          Disponibilité
                                                                          Intégrité
                                                                          Confidentialité


      Enjeux de sécurité relatifs au Cloud                                      22
Principaux risques selon ENISA

1.      Perte de la gouvernance
2.      Verrouillage/«Lock in» avec le fournisseur
3.      Perte de l’isolation «virtuelle»
4.      Problème de non-conformité
5.      Perte de protection des données
6.      Destruction non sécuritaire des données
7.      Le fournisseur «à risque»
BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and
   Information Security Agency (ENISA) 2009



Enjeux de sécurité relatifs au Cloud         23
Principales menaces relatives au Cloud
                            selon la Cloud Security Alliance
• Utilisation abusive ou malicieuse du Cloud
• Interfaces & API non sécuritaires
• Opérateurs malicieux
• Exploitations des vulnérabilités des plateformes
  partagées
• Fuite ou perte de données
• Hijacking d’un compte ou du service
• Exposition inconnue aux risques du fournisseur
Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010

Enjeux de sécurité relatifs au Cloud                24
Surfaces d’attaque
                                                                                 Humain
                                                                                 Plate-forme matérielle / poste de travail

                                                                                 Lien de communication


                                                                                 Point d’accès
      Clients
                                                                                 SaaS : couche applicative / logiciel

                                                                                 PaaS : couche plate-forme applicative / logiciel
Fournisseur
                                                                                 IaaS : couche système d’exploitation / logiciel
                                           clement.gagnon@tactika.com




                                                                                 Infrastructure de virtualisation et arrière-boutique



                                                                                 Humain
                                                                                 Plate-forme matérielle / poste de travail

    Enjeux de sécurité relatifs au Cloud                                    25
Aperçu des menaces
                                                     Humain : ingénierie sociale, malveillance
                                                     Client Web : Code malveillant, XSS
                                                     (cross site scripting), Phishing, DNS poisoning

                                                     Panne, désastre, Interception (MITM), déni de service

                                                     BOF, Injection SQL, Déni de service, Attaque brute
      Clients                                        sur l’authentification
          clement.gagnon@tactika.com




                                                     Changement non annoncé ou non planifié
                                                     Code malveillant, Attaque brute sur
Fournisseur
                                                     l’authentification, Attaque sur l’hyperviseur,
                                                     Déni de service




                                                     Panne, désastre,
                                                     injection de code, mauvaise paramétrisation

                                                     Humain : ingénierie sociale, malveillance
                                                     Client Web : Code malveillant,
                                                     XSS (cross site scripting), Phishing, DNS poisoning

    Enjeux de sécurité relatifs au Cloud        26
Principales vulnérabilités

    Conformité
          Aspects juridiques ►Multiples législations ► Géolocalisation des données
    Maturité des acteurs
          Gouvernance absente ou relâchée, état du SMSI
    Entente de service/SLA
          Mal définie, incomplète
    Votre infrastructure
          Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
    Infrastructure du tiers
          Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
          Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)
    Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)
          Gestion des changements, gestion des incidents
    Maturité du tiers
          Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)




Enjeux de sécurité relatifs au Cloud                          27
Les fonctions «basiques» de sécurité et
                                           le cloud


                                                             Comment ces fonctions
                                        Détection des         de sécurité sont-elles
          Contrôle d’accès               intrusions          mises en œuvre dans le
              Authentification             Détection
                  Réseau                   Prévention                cloud ?
                                           Réparation




          Gestion des
          identités et                  Gestion des
              des                      vulnérabilités
          habilitations



Enjeux de sécurité relatifs au Cloud                    28
Principales mesures de contrôle pour
                                           la sécurité de l’infrastructure
                                                              Antivirus, anti-logiciel espion, correctif


                                                              Chiffrement, lien sécurisé
                                                              Relève, redondance

                                                           Contrôle d’accès authentification (forte), réseau
      Clients
          clement.gagnon@tactika.com




                                                           Détection des intrusions

                                                          Contrôle d’accès physique de l’infrastructure
                                                          Contrôle d’accès authentification (forte), réseau
Fournisseur
                                                          Signature et chiffrement
                                                          Contrôle des vulnérabilités : correctifs
                                                          Relève, redondance
                                                          Journalisation, antivirus, anti logiciel-espion, IDS/IPS


                                                          Contrôle d’accès : authentification (forte) & réseau
                                                          Détection des intrusions, journalisation


                                                Antivirus, anti-logiciel espion, correctifs


    Enjeux de sécurité relatifs au Cloud                 29
Autres mesures de contrôle

• Définition dans l’entente de service/SLA des
  éléments de sécurité
       – Acceptation implicite des risques !
• Sensibilisation et formation des utilisateurs
• Audit (vous et le fournisseur/tiers)
• Test d’intrusion (limité par le SLA et le modèle de
  prestation)
• Relève, redondance (vous versus le tiers)
• Surveillance (monitoring)

Enjeux de sécurité relatifs au Cloud           30
Impacts – Quelques cas réels
           Disponibilité
                  Avril 2011 / Panne majeure chez Amazon
                  Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes
                   de disponibilité de plusieurs heures
                      http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html
                  Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de
                   données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés.
                      http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/

           Confidentialité
                  Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique,
                   carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit.
                      http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/
                  Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés
                     http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/
                  Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de
                   nom de compte et de mot de passe
                    http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html

           Intégrité
                  Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un
                   contractant.
                      http://www.theaeonsolution.com/security/?p=207
              –    Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un
                   client
                   http://www.bbc.co.uk/news/business-19857243

Enjeux de sécurité relatifs au Cloud                                                31
Ce qui vient …

• La localisation des services est un enjeu qui est influencé par
       –   L’infrastructure du fournisseur
       –   Les besoins du consommateur
       –   Les pressions budgétaires (réduire le CAPEX et OPEX)
       –   Exigences de conformité et juridiques
• Pour préserver la confidentialité et l’intégrité, la solution est
  le chiffrement dans le nuage
       –   Complexité
       –   Expertise
       –   Intégration
       –   Fiabilité
       –   Récupération

Enjeux de sécurité relatifs au Cloud     32
Alice et Bob dans le nuage …
                         Le chiffrement dans le nuage : Facile à dire … mais pas facile à
                                                    faire !




•    Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN
•    Nombreux problèmes avec le traitement et le stockage des données
      – Complexité :
            • Quoi et comment «le» chiffrer
            • Type de chiffrement : symétrique, asymétrique, etc.
            • Choix et robustesse de l’algorithme et des clés
            • Cycle de vie des clés : création, déploiement, modification, répudiation,
              conservation, destruction
      – Implantation dans les services : Iaas, PaaS, SaaS
      – Gestion des clés : Qui les détient et comment ?
      – Performance !
Enjeux de sécurité relatifs au Cloud            33
Questions ?
                                       Merci de votre attention !




     Tactika inc.
     •        clement.gagnon@tactika.com
     •        www.tactika.com
     •        @tactika
     •        http://ca.linkedin.com/in/tactika


Enjeux de sécurité relatifs au Cloud              34
Annexe
                                       Pense-bête pour contrôler
                                          les risques du Cloud
    Appliquer les bonnes pratiques selon votre contexte !!!
    Mettre à jour votre cadre de sécurité pour inclure le Cloud
    Déterminer vos besoins
    Déterminer un niveau de service
    Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des
     données ► Destruction des données
    Catégoriser vos données, évaluer la criticité du service
    Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !
    Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI
    Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la
     localisation du désastre …
        Avez-vous une copie de vos données qui sont chez le fournisseur ?
    Surveiller et journaliser ► Audit
    Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve,
     enquête
    Documenter l’architecture(s) ► Documenter … documenter … documenter



Enjeux de sécurité relatifs au Cloud               35
Annexe
                                               Comment implanter l’infonuagique
                                                                           Évaluation des besoins
                                                                            Étude d’opportunuité


                                                                            Analyse de risques
                                                                          Évaluation des impacts
                                                                        Évaluation de la maturité de
                                                                               l’organisation



                                                                            Analyse préliminaire


                                          Mode de
                                        Prestation de                 Architecture de la solution du MO
                                          service ?                              Implantation
                                                                                  Intégration

                                                                                                                Mode de
                                                                                                              déploiement ?




                                                                                               Nuage public   Nuage hybride   Nuage privé

                                 IaaS      PaaS                SaaS




                                                                          Stratégie d’implantation




                                                                                 Acquisition




                                                                                Implantation




                                        Processus de gestion
                                                                                Exploitation
                                                 TI
                                                                                 Opération
                                             Ententes
                                           contractuelles


Enjeux de sécurité relatifs au Cloud                                         36

Contenu connexe

Tendances

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
Geoffroy Moens
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
NRC
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
Microsoft Décideurs IT
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Microsoft Décideurs IT
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computing
Dany Rabe
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
Institut Poly Informatique
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
Cédric Mora
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
Marc Rousselet
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
Sébastien Kieger
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
Frederic Desprez
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
Hassan EL ALLOUSSI
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
Fred Canevet
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
Olivier Schmitt
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
Philippe Scoffoni
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
Stor Solutions
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
Oumaima Karim
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
Medinsoft
 

Tendances (20)

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computing
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 

Similaire à Enjeux de sécurité relatifs au cloud v1

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
Oxalide
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
Avignon Delta Numérique
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Semaweb
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Semaweb
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Malika Lardjane
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
Ikoula
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
Club Alliances
 
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
Club Cloud des Partenaires
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
Club Alliances
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
Manellansari
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
Mohamed Belhadj
 
Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01
cmichel65
 
Vocabulaire et Usage du Cloud
Vocabulaire et Usage du CloudVocabulaire et Usage du Cloud
Vocabulaire et Usage du Cloud
Club Alliances
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
Club Cloud des Partenaires
 
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
PartnerWin - #SocialSelling StarterPacks
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
PECB
 
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Technet France
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
hasna920888
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
PECB
 

Similaire à Enjeux de sécurité relatifs au cloud v1 (20)

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
 
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01
 
Vocabulaire et Usage du Cloud
Vocabulaire et Usage du CloudVocabulaire et Usage du Cloud
Vocabulaire et Usage du Cloud
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 

Plus de Tactika inc.

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
Tactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
Tactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Tactika inc.
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
Tactika inc.
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
Tactika inc.
 

Plus de Tactika inc. (6)

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
 

Enjeux de sécurité relatifs au cloud v1

  • 1. Enjeux de sécurité relatifs au cloud v.1 Novembre 2012 Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika
  • 2. Contenu de la conférence Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion. Enjeux de sécurité relatifs au Cloud 2
  • 3. Le Cloud est-il incontournable ? • Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . • Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé ! Enjeux de sécurité relatifs au Cloud 3
  • 4. Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html Enjeux de sécurité relatifs au Cloud 4
  • 5. Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre-service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multilocataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commodité Enjeux de sécurité relatifs au Cloud 5
  • 6. Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement  Élasticité, extensibilité ► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestage Enjeux de sécurité relatifs au Cloud 6
  • 7. Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation Individu Enjeux de sécurité relatifs au Cloud 7
  • 8. Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multilocataire Même entente de service /SLA pour tous Enjeux de sécurité relatifs au Cloud 8
  • 9. Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X ou Linux, Ex. CRM (software), Espace de stockage Ex. Sharepoint, Typo3 anti-virus (service) Abstraction Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS Enjeux de sécurité relatifs au Cloud 9
  • 10. Évolution du modèle de prestation de services • BPaas / Business Process as a Service – BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière – Sous division de SaaS concerne les applications logicielles accessibles dans le nuage • Personnal Cloud – Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur) Enjeux de sécurité relatifs au Cloud 10
  • 11. Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communauté Enjeux de sécurité relatifs au Cloud 11
  • 12. Les acteurs dans le modèle de prestation de services Client / utilisateur Client / opérateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur Enjeux de sécurité relatifs au Cloud 12
  • 13. Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com Opérateur Enjeux de sécurité relatifs au Cloud 13
  • 14. «Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 Enjeux de sécurité relatifs au Cloud 14
  • 15. Popularité des modèles de déploiement Enjeux de sécurité relatifs au Cloud 15
  • 16. Quel modèle de prestation de services ? • Utilisation de l’infonuagique en 2012 selon Gartner – Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%) http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Tendance Enjeux de sécurité relatifs au Cloud 16
  • 17. Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé  Consolidation  Flexibilité  Libre-service  Montée en  Élimination du  Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblité Enjeux de sécurité relatifs au Cloud 17
  • 18. Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privé Enjeux de sécurité relatifs au Cloud 18
  • 19. Infonuagique et la sécurité • Les trois principales préoccupations selon Gartner – Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Enjeux de sécurité relatifs au Cloud 19
  • 20. La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés». Enjeux de sécurité relatifs au Cloud 20
  • 21. Facteurs de risque • Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque Gouvernance, risque et conformité Processus de gestion Contrôle et opération • Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Exemple :  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière-boutique (intégration élevée, impact important) Enjeux de sécurité relatifs au Cloud 21
  • 22. Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité Enjeux de sécurité relatifs au Cloud 22
  • 23. Principaux risques selon ENISA 1. Perte de la gouvernance 2. Verrouillage/«Lock in» avec le fournisseur 3. Perte de l’isolation «virtuelle» 4. Problème de non-conformité 5. Perte de protection des données 6. Destruction non sécuritaire des données 7. Le fournisseur «à risque» BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009 Enjeux de sécurité relatifs au Cloud 23
  • 24. Principales menaces relatives au Cloud selon la Cloud Security Alliance • Utilisation abusive ou malicieuse du Cloud • Interfaces & API non sécuritaires • Opérateurs malicieux • Exploitations des vulnérabilités des plateformes partagées • Fuite ou perte de données • Hijacking d’un compte ou du service • Exposition inconnue aux risques du fournisseur Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010 Enjeux de sécurité relatifs au Cloud 24
  • 25. Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Clients SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel Fournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail Enjeux de sécurité relatifs au Cloud 25
  • 26. Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute Clients sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur Fournisseur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Enjeux de sécurité relatifs au Cloud 26
  • 27. Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité des acteurs  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Infrastructure du tiers  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) Enjeux de sécurité relatifs au Cloud 27
  • 28. Les fonctions «basiques» de sécurité et le cloud Comment ces fonctions Détection des de sécurité sont-elles Contrôle d’accès intrusions mises en œuvre dans le Authentification Détection Réseau Prévention cloud ? Réparation Gestion des identités et Gestion des des vulnérabilités habilitations Enjeux de sécurité relatifs au Cloud 28
  • 29. Principales mesures de contrôle pour la sécurité de l’infrastructure Antivirus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau Clients clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Fournisseur Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, antivirus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Antivirus, anti-logiciel espion, correctifs Enjeux de sécurité relatifs au Cloud 29
  • 30. Autres mesures de contrôle • Définition dans l’entente de service/SLA des éléments de sécurité – Acceptation implicite des risques ! • Sensibilisation et formation des utilisateurs • Audit (vous et le fournisseur/tiers) • Test d’intrusion (limité par le SLA et le modèle de prestation) • Relève, redondance (vous versus le tiers) • Surveillance (monitoring) Enjeux de sécurité relatifs au Cloud 30
  • 31. Impacts – Quelques cas réels  Disponibilité  Avril 2011 / Panne majeure chez Amazon  Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés. http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/  Confidentialité  Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/  Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html  Intégrité  Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 – Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client http://www.bbc.co.uk/news/business-19857243 Enjeux de sécurité relatifs au Cloud 31
  • 32. Ce qui vient … • La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur – Les besoins du consommateur – Les pressions budgétaires (réduire le CAPEX et OPEX) – Exigences de conformité et juridiques • Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité – Expertise – Intégration – Fiabilité – Récupération Enjeux de sécurité relatifs au Cloud 32
  • 33. Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à faire ! • Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN • Nombreux problèmes avec le traitement et le stockage des données – Complexité : • Quoi et comment «le» chiffrer • Type de chiffrement : symétrique, asymétrique, etc. • Choix et robustesse de l’algorithme et des clés • Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction – Implantation dans les services : Iaas, PaaS, SaaS – Gestion des clés : Qui les détient et comment ? – Performance ! Enjeux de sécurité relatifs au Cloud 33
  • 34. Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika Enjeux de sécurité relatifs au Cloud 34
  • 35. Annexe Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenter Enjeux de sécurité relatifs au Cloud 35
  • 36. Annexe Comment implanter l’infonuagique Évaluation des besoins Étude d’opportunuité Analyse de risques Évaluation des impacts Évaluation de la maturité de l’organisation Analyse préliminaire Mode de Prestation de Architecture de la solution du MO service ? Implantation Intégration Mode de déploiement ? Nuage public Nuage hybride Nuage privé IaaS PaaS SaaS Stratégie d’implantation Acquisition Implantation Processus de gestion Exploitation TI Opération Ententes contractuelles Enjeux de sécurité relatifs au Cloud 36