SlideShare une entreprise Scribd logo
1
Les Outils de la Cloud Security
        Alliance (CSA)

      Yann Rivière, CISSP, CCSK
           @yannriviere
         8 Novembre 2012
                                      2
        http://www.isaca-quebec.ca/
Qui suis-je ?
– Yann Rivière
– Fujitsu Canada, équipe sécurité du bureau de Québec
– Passé : Industries de la défense et de l’automobile
   • Thales (Défense, Sécurité, Aérospatial)
      – Équipe sécurité des infrastructures
   • British Telecom
      – Équipe sécurité des clients
      – Client : Valeo, Industriel automobile
      – Centre de compétence sécurité du groupe
             Projet Google Apps entre autres.



                                                   3
Plan
– Présenter les outils de la Cloud Security Alliance
  (CSA)
– Retour d’expérience: Google Apps dans l’industrie
  automobile




                                                       4
Qu’est-ce que la CSA ?
• Organisation à but non lucratif
  – 35 678 membres individuels
  – 123 membres corporatifs
  – 64 chapitres
• Mission de la CSA
  – Promouvoir l’utilisation des meilleures pratiques
    sécurité dans le « Cloud Computing »
  – Permettre un usage sécuritaire par l’éducation et la
    mise à disposition d’outils

                                                           5
Les membres




              6
      6
Les outils de la CSA
• Le guide de sécurité v3
     • Security Guidance for Critical Areas of Focus in Cloud
       Computing
     • https://cloudsecurityalliance.org/guidance


• La Pile GRC (Governance, Risk Management and
  Compliance)




                                                                7
                              7
Le Guide de Sécurité version 3
• Recueil des               Section 1.     Domaine 1             Cadre architectural
  meilleures pratiques      Architecture
  pour sécuriser le
  Cloud Computing
                                           Domaine 2    Gouvernance et gestion du risque
                                           Domaine 3    Juridique : contrat et enquête électronique
                            Section 2.     Domaine 4    Gestion de la conformité et audit
                            Gouvernance
• Projet phare de la                       Domaine 5    Gestion de l’information et sécurité des données
  CSA                                      Domaine 6      Interopérabilité et portabilité
• V 3.0 publiée en
  Novembre 2011                            Domaine 7             Sécurité, BCP, DRP
                                           Domaine 8     Opération du centre de données
• Aligné sur les cadres
                                           Domaine 9           Gestion des incidents
                             Section 3.
                                           Domaine 10        Sécurité des applications
  internationaux
                             Opérations
                                           Domaine 11     Chiffrement et gestion des clés
    – Cobit 4.1, PCI/DSS,
      ISO 27001,SP 800-53
                                           Domaine 12   Identité, droit et gestion des accès
                                           Domaine 13              Virtualisation
                                           Domaine 14           SECurity As a Service

                                                                                                      8
Le Guide de Sécurité version 3
• Exemple : Domaine 14 : « Security as a Service »
  Achat d’un service cloud de courriel
  – Les fournisseurs doivent pouvoir donner l’option de
    chiffrer vos courriels à l’aider de règles.
  – Les fournisseurs doivent passer les courriels à
    l’antivirus avant de vous délivrer le message
  – Les fournisseurs de services doivent vous fournir des
    capacité d’analyse de contenu qui vous permette de
    forcer la politique.


                                                        9
Le Guide de Sécurité version 3
• Exemple : Domaine 4 : « Conformité »
  Achat d’un service de courriel et de gestion de
  calendrier
  – Si vous êtes dans un environnement hautement
    régulé (gouvernement, finance, santé…)
  – Alors
     • Localisation des données
     • Localisation des sauvegardes
     • Localisation des données en transit


                                                    10
La Pile GRC
           (Gouvernance, Risk management , Compliance)

• Famille de 4 projets de recherche donnant 4 outils

   – CCM : Cloud Control Matrix

   – CAIQ : Consensus Assessment Initiative Questionnaire

   – Cloud Audit

   – Cloud Trust Protocol
12
La pile GRC : vue client/fournisseur

Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?


         Client : Comment je me renseigne à
         propos des contrôles mis en place chez
         le fournisseur ?
         Fournisseur : Comment je fais la
         démonstration de mes contrôles



                 Fournisseur : Comment je publie les
                 informations d’audit ?
                 Client : Comment je récupère les
                 informations d’audit ?



                          Client : Comment puis-je savoir si les contrôles
  Contrôle et             dont j’ai besoin sont toujours fonctionnels ?
  surveillance            Fournisseur : Comment je puis fournir la
  dynamique
                          transparence des mes services à mes clients ?      13
L’outil Cloud Control Matrix (CCM)
• Cloud Control Matrix (CCM)
  – Premier cadre spécifiquement
    écrit pour apprécier les risques
    dans la chaine
    d’approvisionnement du cloud
    computing
  – Liste les contrôles couvrant les
    14 domaines identifiés dans le
    guide de sécurité
  – Mappés avec les contrôles des
    cadres courants tels que COBIT     https://cloudsecurityalliance.org/research/ccm/
    4.1, PCI/DSS, ISO 27001,HIPAA,
    NIST SP800-53 R3 et Jericho
    Forum
                                                                                 14
La CCM : exemple
Extrait section sécurité des données :




• Contrôle IS-19 : Gestion des clefs de chiffrement
  – Politiques et procédures doivent être établies et les
    mécanismes implémentés pour supporter le
    chiffrement des données stockées et en transit          15
La pile GRC : vue globale

Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?


         Client : Comment je me renseigne à
         propos des contrôles mis en place chez
         le fournisseur ?
         Fournisseur : Comment je fais la
         démonstration de mes contrôles



                 Fournisseur : Comment je publie les
                 informations d’audit ?
                 Client : Comment je récupère les
                 informations d’audit ?



                          Client : Comment puis-je savoir si les contrôles
  Contrôle et             dont j’ai besoin sont toujours fonctionnels ?
  surveillance            Fournisseur : Comment je puis fournir la
  dynamique
                          transparence des mes services à mes clients ?      16
Le questionnaire CAI
• Liste de 197 questions
  couvrant la CCM
   – Peut être utilisé par les
     fournisseurs ou par les
     utilisateurs de services Cloud
   – Permet d’identifier les
     pratiques et contrôles de
     sécurité
   – Évaluer les niveaux de
     service
   – Ne rien « oublier » dans
     votre contrat
   – Mappés avec les contrôles
     des cadres courants tels que
     COBIT 4.1, PCI ISO 27001 ou
     HIPAA, NIST SP800-53
                                       17
Le questionnaire CAI

• Gestion des clef de chiffrement
  – Question IS-19-2 : Est-ce que les images et les
    données sont protégées par chiffrement lors de
    leur transit entres hyperviseurs ou d’un réseau à
    un autre ?
  – IS 19.4 : Est-ce qu’il existe une procédure de
    gestion des clés de chiffrement ?




                                                        18
La pile GRC : vue globale

Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?


         Client : Comment je me renseigne à
         propos des contrôles mis en place chez
         le fournisseur ?
         Fournisseur : Comment je fais la
         démonstration de mes contrôles



                 Fournisseur : Comment je publie les
                 informations d’audit ?
                 Client : Comment je récupère les
                 informations d’audit ?



                          Client : Comment puis-je savoir si les contrôles
  Contrôle et             dont j’ai besoin sont toujours fonctionnels ?
  surveillance            Fournisseur : Comment je puis fournir la
  dynamique
                          transparence des mes services à mes clients ?      19
Cloud Audit (1/2)
• Propose une interface entre utilisateurs et fournisseurs
  permettant la collection automatisée d’information d’audit
• L’espace de nom utilisé par cloud audit reflète les contrôles du
  cadre de référence

• Basé sur le protocole HTTP (Requêtes GET)
   – Convention de nommage et structure définies
   – Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53
   – Draft RFC




                                                                   20
Cloud Audit (2/2)

• Exemples : Contrôle de la gestion des clefs de chiffrement
    – Cobit 4.1 : ControleDS5.8
    – NIST : SP800-53 R3 SC-12
    – Cloud Security Alliance : IS-19


• Requête Cobit 4.1
    – GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/


• Requête CSA
    – GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/


• Requête ISO 27002-2005
    – GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/


• Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du   21
   contrôle)
Cloud Audit et gestion des clefs
 Existe t’il une
  politique de
gestion des clefs
de chiffrement ?       GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/




                      <200 Ok, Yes +




                       Politique de gestion des clefs



                                                                               22
23
La pile GRC : vue globale

Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?


        Client : Comment je me renseigne à
        propos des contrôles mis en place chez
        le fournisseur ?
        Fournisseur : Comment je fais la
        démonstration de mes contrôles



                Fournisseur : Comment je publie les
                informations d’audit ?
                Client : Comment je récupère les
                informations d’audit ?



Contrôle et               Client : Comment puis-je savoir si les contrôles
surveillance              dont j’ai besoin sont toujours fonctionnels ?
dynamique                 Fournisseur : Comment je puis fournir la
                          transparence de mes services à mes clients ?       24
Cloud Trust Protocol (CTP)




                                                Quelle est ma
                                  Qui a accès
                    Où sont mes                 configuration
                                    à mes
                     données ?                      cloud        Quels sont les
Quelles sont les                  données ?
                                                actuellement?   évènements de
vulnérabilités de
                                                                sécurité de mon
       mon
                                                                infrastructure ?
 infrastructure ?
Cloud Trust protocol
• Objectif : Établir une relation de confiance avec les
  fournisseurs
   –   « La confiance n’exclut pas le contrôle »
   –   Rendre visible ce qui se passe dans le cloud
   –   Rétablissement de la transparence
   –   Augmente la confiance de l’utilisateur ou client potentiel

   – Apparition de la notion d’éléments de transparence




                                                                    26
Cloud Trust protocol

• Éléments de transparence
   – Informations : configurations, évaluation des vulnérabilités, journaux
     applicatif, statistiques, historique, architecture, technologie,
     procédures etc…
• Comment ?
   – En répondant aux clients en temps réel ou pas (courriel)
   – Requêtes HTTP
• Ce que vous pouvez avoir (entre autres):
   – Liste des utilisateurs et leurs permissions
   – Quelle est la configuration technologique de {$hyperviseur, $switch
     virtuel, $firewall virtuel, $IDS}


• Nouveau service :
   – TaaS (Transparency as a Service)                                      27
CTP : Mécanique




                  28
La pile GRC : vue globale

Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?


        Client : Comment je me renseigne à
        propos des contrôles mis en place chez
        le fournisseur ?
        Fournisseur : Comment je fais la
        démonstration de mes contrôles



                Fournisseur : Comment je publie les
                informations d’audit ?
                Client : Comment je récupère les
                informations d’audit ?



Contrôle et               Client : Comment puis-je savoir si les contrôles
surveillance              dont j’ai besoin sont toujours fonctionnels ?
dynamique                 Fournisseur : Comment je puis fournir la
                          transparence de mes services à mes clients ?       29
La pile GRC : Synthèse

Fournit                 Outils   Description
Éléments de contrôle             Guide les fournisseurs et
fondamentaux                     assiste les clients pour
                                 l’évaluation « sécurité »
                                 d’un fournisseur de Cloud
                                 Computing
Questionnaire de                 Documente quels
préaudit permettant              contrôles de sécurité sont
d’inventorier les                implantés
contrôles
Délivre les résultats            Interface pour automatiser
d’audits                         la collecte des
                                 informations d’audit du
                                 fournisseur

Surveillance en                  Mécanismes pour
continue des éléments            demander et recevoir les
de transparence                  affirmations et preuves de
                                 l’état courant des services
                                 chez le fournisseur
Pour conclure

• CSA :Organisation jeune (3 ans)
   – Outils jeunes mais basés sur des
     cadres de références
   – Leader en matière de sécurité du
     Cloud Computing
• Fort développement
   – 60 chapitres
• Supportée par des compagnies
  et organisations majeures
   – ISACA International
• Outils automatisés: en cours
  de développement

                                        31

Contenu connexe

Tendances

IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA
IBM Security
 
Introduction to QRadar
Introduction to QRadarIntroduction to QRadar
Introduction to QRadar
PencilData
 
Identity access management
Identity access managementIdentity access management
Identity access management
Prof. Jacques Folon (Ph.D)
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
EBIOS
EBIOSEBIOS
vRealize Operation 7.5 What's new
vRealize Operation 7.5 What's newvRealize Operation 7.5 What's new
vRealize Operation 7.5 What's new
Kiss Tibor
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Derrick Hunter
 
Information Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your OrganziationInformation Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your Organziation
Seccuris Inc.
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEM
John Hubbard
 
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
Priyanka Aash
 
DevSecOps: Key Controls for Modern Security Success
DevSecOps: Key Controls for Modern Security SuccessDevSecOps: Key Controls for Modern Security Success
DevSecOps: Key Controls for Modern Security Success
Puma Security, LLC
 
security-reference-architecture.pdf
security-reference-architecture.pdfsecurity-reference-architecture.pdf
security-reference-architecture.pdf
JoniGarcia9
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
EyesOpen Association
 
Cyber Defense Matrix: Revolutions
Cyber Defense Matrix: RevolutionsCyber Defense Matrix: Revolutions
Cyber Defense Matrix: Revolutions
Sounil Yu
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Container Security Using Microsoft Defender
Container Security Using Microsoft DefenderContainer Security Using Microsoft Defender
Container Security Using Microsoft Defender
Rahul Khengare
 
HP의 compliance management 솔루션
HP의 compliance management 솔루션HP의 compliance management 솔루션
HP의 compliance management 솔루션
Seong-Bok Lee
 

Tendances (20)

IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA
 
Introduction to QRadar
Introduction to QRadarIntroduction to QRadar
Introduction to QRadar
 
Identity access management
Identity access managementIdentity access management
Identity access management
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
EBIOS
EBIOSEBIOS
EBIOS
 
vRealize Operation 7.5 What's new
vRealize Operation 7.5 What's newvRealize Operation 7.5 What's new
vRealize Operation 7.5 What's new
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
 
Information Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your OrganziationInformation Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your Organziation
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEM
 
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
 
DevSecOps: Key Controls for Modern Security Success
DevSecOps: Key Controls for Modern Security SuccessDevSecOps: Key Controls for Modern Security Success
DevSecOps: Key Controls for Modern Security Success
 
security-reference-architecture.pdf
security-reference-architecture.pdfsecurity-reference-architecture.pdf
security-reference-architecture.pdf
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Cyber Defense Matrix: Revolutions
Cyber Defense Matrix: RevolutionsCyber Defense Matrix: Revolutions
Cyber Defense Matrix: Revolutions
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Container Security Using Microsoft Defender
Container Security Using Microsoft DefenderContainer Security Using Microsoft Defender
Container Security Using Microsoft Defender
 
HP의 compliance management 솔루션
HP의 compliance management 솔루션HP의 compliance management 솔루션
HP의 compliance management 솔루션
 

En vedette

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
Yann Riviere CCSK, CISSP, CRISC, CISM
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
Youssef Bensafi
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 

En vedette (20)

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIA
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 

Similaire à Les Outils de la CSA (Cloud Security Alliance)

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Microsoft Décideurs IT
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16
Matthieu DEMOOR
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
PECB
 
Skylads - Big Data for Telcos
Skylads - Big Data for TelcosSkylads - Big Data for Telcos
Skylads - Big Data for Telcos
Xavier Litt
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...CERTyou Formation
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres siveton
CLDEM
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonvsiveton
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
Mouna Maazoun
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Tactika inc.
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9CERTyou Formation
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCERTyou Formation
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administrationCERTyou Formation
 

Similaire à Les Outils de la CSA (Cloud Security Alliance) (20)

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Skylads - Big Data for Telcos
Skylads - Big Data for TelcosSkylads - Big Data for Telcos
Skylads - Big Data for Telcos
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres siveton
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 

Les Outils de la CSA (Cloud Security Alliance)

  • 1. 1
  • 2. Les Outils de la Cloud Security Alliance (CSA) Yann Rivière, CISSP, CCSK @yannriviere 8 Novembre 2012 2 http://www.isaca-quebec.ca/
  • 3. Qui suis-je ? – Yann Rivière – Fujitsu Canada, équipe sécurité du bureau de Québec – Passé : Industries de la défense et de l’automobile • Thales (Défense, Sécurité, Aérospatial) – Équipe sécurité des infrastructures • British Telecom – Équipe sécurité des clients – Client : Valeo, Industriel automobile – Centre de compétence sécurité du groupe Projet Google Apps entre autres. 3
  • 4. Plan – Présenter les outils de la Cloud Security Alliance (CSA) – Retour d’expérience: Google Apps dans l’industrie automobile 4
  • 5. Qu’est-ce que la CSA ? • Organisation à but non lucratif – 35 678 membres individuels – 123 membres corporatifs – 64 chapitres • Mission de la CSA – Promouvoir l’utilisation des meilleures pratiques sécurité dans le « Cloud Computing » – Permettre un usage sécuritaire par l’éducation et la mise à disposition d’outils 5
  • 7. Les outils de la CSA • Le guide de sécurité v3 • Security Guidance for Critical Areas of Focus in Cloud Computing • https://cloudsecurityalliance.org/guidance • La Pile GRC (Governance, Risk Management and Compliance) 7 7
  • 8. Le Guide de Sécurité version 3 • Recueil des Section 1. Domaine 1 Cadre architectural meilleures pratiques Architecture pour sécuriser le Cloud Computing Domaine 2 Gouvernance et gestion du risque Domaine 3 Juridique : contrat et enquête électronique Section 2. Domaine 4 Gestion de la conformité et audit Gouvernance • Projet phare de la Domaine 5 Gestion de l’information et sécurité des données CSA Domaine 6 Interopérabilité et portabilité • V 3.0 publiée en Novembre 2011 Domaine 7 Sécurité, BCP, DRP Domaine 8 Opération du centre de données • Aligné sur les cadres Domaine 9 Gestion des incidents Section 3. Domaine 10 Sécurité des applications internationaux Opérations Domaine 11 Chiffrement et gestion des clés – Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53 Domaine 12 Identité, droit et gestion des accès Domaine 13 Virtualisation Domaine 14 SECurity As a Service 8
  • 9. Le Guide de Sécurité version 3 • Exemple : Domaine 14 : « Security as a Service » Achat d’un service cloud de courriel – Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles. – Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message – Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique. 9
  • 10. Le Guide de Sécurité version 3 • Exemple : Domaine 4 : « Conformité » Achat d’un service de courriel et de gestion de calendrier – Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…) – Alors • Localisation des données • Localisation des sauvegardes • Localisation des données en transit 10
  • 11. La Pile GRC (Gouvernance, Risk management , Compliance) • Famille de 4 projets de recherche donnant 4 outils – CCM : Cloud Control Matrix – CAIQ : Consensus Assessment Initiative Questionnaire – Cloud Audit – Cloud Trust Protocol
  • 12. 12
  • 13. La pile GRC : vue client/fournisseur Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 13
  • 14. L’outil Cloud Control Matrix (CCM) • Cloud Control Matrix (CCM) – Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing – Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité – Mappés avec les contrôles des cadres courants tels que COBIT https://cloudsecurityalliance.org/research/ccm/ 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum 14
  • 15. La CCM : exemple Extrait section sécurité des données : • Contrôle IS-19 : Gestion des clefs de chiffrement – Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit 15
  • 16. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 16
  • 17. Le questionnaire CAI • Liste de 197 questions couvrant la CCM – Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud – Permet d’identifier les pratiques et contrôles de sécurité – Évaluer les niveaux de service – Ne rien « oublier » dans votre contrat – Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53 17
  • 18. Le questionnaire CAI • Gestion des clef de chiffrement – Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ? – IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ? 18
  • 19. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 19
  • 20. Cloud Audit (1/2) • Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit • L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence • Basé sur le protocole HTTP (Requêtes GET) – Convention de nommage et structure définies – Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53 – Draft RFC 20
  • 21. Cloud Audit (2/2) • Exemples : Contrôle de la gestion des clefs de chiffrement – Cobit 4.1 : ControleDS5.8 – NIST : SP800-53 R3 SC-12 – Cloud Security Alliance : IS-19 • Requête Cobit 4.1 – GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ • Requête CSA – GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/ • Requête ISO 27002-2005 – GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/ • Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du 21 contrôle)
  • 22. Cloud Audit et gestion des clefs Existe t’il une politique de gestion des clefs de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ <200 Ok, Yes + Politique de gestion des clefs 22
  • 23. 23
  • 24. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 24
  • 25. Cloud Trust Protocol (CTP) Quelle est ma Qui a accès Où sont mes configuration à mes données ? cloud Quels sont les Quelles sont les données ? actuellement? évènements de vulnérabilités de sécurité de mon mon infrastructure ? infrastructure ?
  • 26. Cloud Trust protocol • Objectif : Établir une relation de confiance avec les fournisseurs – « La confiance n’exclut pas le contrôle » – Rendre visible ce qui se passe dans le cloud – Rétablissement de la transparence – Augmente la confiance de l’utilisateur ou client potentiel – Apparition de la notion d’éléments de transparence 26
  • 27. Cloud Trust protocol • Éléments de transparence – Informations : configurations, évaluation des vulnérabilités, journaux applicatif, statistiques, historique, architecture, technologie, procédures etc… • Comment ? – En répondant aux clients en temps réel ou pas (courriel) – Requêtes HTTP • Ce que vous pouvez avoir (entre autres): – Liste des utilisateurs et leurs permissions – Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS} • Nouveau service : – TaaS (Transparency as a Service) 27
  • 29. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 29
  • 30. La pile GRC : Synthèse Fournit Outils Description Éléments de contrôle Guide les fournisseurs et fondamentaux assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud Computing Questionnaire de Documente quels préaudit permettant contrôles de sécurité sont d’inventorier les implantés contrôles Délivre les résultats Interface pour automatiser d’audits la collecte des informations d’audit du fournisseur Surveillance en Mécanismes pour continue des éléments demander et recevoir les de transparence affirmations et preuves de l’état courant des services chez le fournisseur
  • 31. Pour conclure • CSA :Organisation jeune (3 ans) – Outils jeunes mais basés sur des cadres de références – Leader en matière de sécurité du Cloud Computing • Fort développement – 60 chapitres • Supportée par des compagnies et organisations majeures – ISACA International • Outils automatisés: en cours de développement 31