Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
L’OSSIR est un Groupe de travail parisien d’experts sécurité, SecludIT et Frédéric Donnat (Co-fondateur et Dir.Technique) sont ravi d’avoir pu présente Elastic Detector, la solution de surveillance continue et adaptative. En effet la solution répond au besoin des RSSI en terme de gain de temps sur leurs tâches quotidiennes.
Retour d'expérience de Jérôme Mollaret, expert cybersécurité chez Hardis Group, qui utilise Elastic Detector pour sécuriser plusieurs milliers de serveurs.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
L’OSSIR est un Groupe de travail parisien d’experts sécurité, SecludIT et Frédéric Donnat (Co-fondateur et Dir.Technique) sont ravi d’avoir pu présente Elastic Detector, la solution de surveillance continue et adaptative. En effet la solution répond au besoin des RSSI en terme de gain de temps sur leurs tâches quotidiennes.
Retour d'expérience de Jérôme Mollaret, expert cybersécurité chez Hardis Group, qui utilise Elastic Detector pour sécuriser plusieurs milliers de serveurs.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Détecter et neutraliser efficacement les cybermenaces !Kyos
Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
"La sécurité de votre Système d’Information est à l’honneur dans ce talk.
- Comment sécuriser mes données et mes échanges avec Office 365 ?
- Où sont mes données une fois migrées ?
- Comment sécuriser mes périphériques en mobilité ?
- Protéger mes informations dans l’approche « Cloud First »,
- …
Nos experts répondent à TOUTES vos questions !"
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
Le 29.10.2015, Kyos a organisé un petit déjeuner sur Genève autour du thème "Simplifiez la sécurisation de vos données par chiffrement transparent"
En savoir plus :
--------------------
Le chiffrement des données n’est plus une simple préconisation, c’est une nécessité pour toutes les entreprises.
La solution Vormetric a une approche innovante de chiffrement transparent qui permet notamment :
- De sécuriser le système d’information en chiffrant les fichiers, les applications, les bases de données et les sauvegardes de façon transparente pour les utilisateurs, sans changer les outils de travail.
- De mettre en place une séparation des rôles de sorte que seuls les utilisateurs ayant besoin d’accéder aux contenus critiques peuvent y accéder sans empêcher les utilisateurs privilégiés d’effectuer les travaux d’administration.
- De prévenir des attaques de type « Side-Channel » sur les données.
- Et de protéger les données critiques grâce aux solutions de tokenisation, de datamasking ainsi que de chiffrement d’applications, y compris dans le cloud.
Ceci permet notamment de pouvoir répondre au besoin de conformité de la FINMA, en garantissant que les données clients sont protégées contre des accès non-sécurisés.
Le 09.03.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Face à la cybercriminalité : Qui fait quoi ? Et à quel moment ? Utilisateurs, Services Informatiques, Partenaires sécurité et Etat : Ensemble fortifions la chaîne de défense !"
Introduction :
Ransomware, cybercriminalité, cyberguerre ? Les risques d’hier sont les faits divers d’aujourd’hui. Pourtant il existe une chaine de défense, elle n’est surement pas parfaite mais ne demande qu’à s’améliorer. Nous vous proposons de refaire le point sur les acteurs de l’Utilisateur jusqu’ à l’Etat et sur les actions possibles avant, pendant et après.
L’ambition de l’évènement ? Comprendre, au travers d’un scénario impliquant tous les acteurs, qui peut faire quoi et à quel moment ? Aborder, le plus simplement possible des questions comme : Où dois-je investir? La prévention ? La détection ? La réaction a posteriori ? Dois-je porter plainte ? Comment regagner la confiance dans mon système d’information après une attaque ?
Avec notamment la participation de Mr Patrick Ghion qui nous présentera le rôle et les actions concrètes de la BCI (Brigade de Criminalité Informatique – Police Genève).
Operational Insight est la réponse de Microsoft au défi technique de la collecte et analyse des informations depuis tous les serveurs sans les contraintes que peuvent parfois apporter des outils traditionnels comme Operations Manager. Avec ou sans Operations Manager, vous avez maintenant un outil basé sur la puissance d’analyse du cloud Microsoft Azure, permettant la corrélation entre les données de performances et évènements importants de votre infrastructure.
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
- Un condensé de l’actualité des vulnérabilités et attaques ciblées du mois : Destover, FOVI, SPE, IMSI …
- Les 7 prévisions "cyber risques" pour l'année 2015
Lors de l’événement aOS Aix en Provence du jeudi 21 juin sponsorisé par Scala, vous avez pu échanger avec des experts des technologies Office 365 et Azure sur de nombreux sujets : les dernières nouveautés Azure, la mise en conformisation d’un SI avec le RGPD ou encore la création de Bots multicanaux.
Retrouvez le support de cette présentation !
Pour toute question ou pour vous accompagner sur vos problématiques, contactez-nous ! www.groupe-scala.com
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Une analyse de la sécurité d'Amazon Web services selon la norme ISO 27002 faite à l'occasion du séminaire cloud computing organisé par le centre de compétence technique (CCT) du CNES
http://cct.cnes.fr/cct05/public/2010/index.htm#seminaires
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Détecter et neutraliser efficacement les cybermenaces !Kyos
Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
"La sécurité de votre Système d’Information est à l’honneur dans ce talk.
- Comment sécuriser mes données et mes échanges avec Office 365 ?
- Où sont mes données une fois migrées ?
- Comment sécuriser mes périphériques en mobilité ?
- Protéger mes informations dans l’approche « Cloud First »,
- …
Nos experts répondent à TOUTES vos questions !"
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
Le 29.10.2015, Kyos a organisé un petit déjeuner sur Genève autour du thème "Simplifiez la sécurisation de vos données par chiffrement transparent"
En savoir plus :
--------------------
Le chiffrement des données n’est plus une simple préconisation, c’est une nécessité pour toutes les entreprises.
La solution Vormetric a une approche innovante de chiffrement transparent qui permet notamment :
- De sécuriser le système d’information en chiffrant les fichiers, les applications, les bases de données et les sauvegardes de façon transparente pour les utilisateurs, sans changer les outils de travail.
- De mettre en place une séparation des rôles de sorte que seuls les utilisateurs ayant besoin d’accéder aux contenus critiques peuvent y accéder sans empêcher les utilisateurs privilégiés d’effectuer les travaux d’administration.
- De prévenir des attaques de type « Side-Channel » sur les données.
- Et de protéger les données critiques grâce aux solutions de tokenisation, de datamasking ainsi que de chiffrement d’applications, y compris dans le cloud.
Ceci permet notamment de pouvoir répondre au besoin de conformité de la FINMA, en garantissant que les données clients sont protégées contre des accès non-sécurisés.
Le 09.03.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Face à la cybercriminalité : Qui fait quoi ? Et à quel moment ? Utilisateurs, Services Informatiques, Partenaires sécurité et Etat : Ensemble fortifions la chaîne de défense !"
Introduction :
Ransomware, cybercriminalité, cyberguerre ? Les risques d’hier sont les faits divers d’aujourd’hui. Pourtant il existe une chaine de défense, elle n’est surement pas parfaite mais ne demande qu’à s’améliorer. Nous vous proposons de refaire le point sur les acteurs de l’Utilisateur jusqu’ à l’Etat et sur les actions possibles avant, pendant et après.
L’ambition de l’évènement ? Comprendre, au travers d’un scénario impliquant tous les acteurs, qui peut faire quoi et à quel moment ? Aborder, le plus simplement possible des questions comme : Où dois-je investir? La prévention ? La détection ? La réaction a posteriori ? Dois-je porter plainte ? Comment regagner la confiance dans mon système d’information après une attaque ?
Avec notamment la participation de Mr Patrick Ghion qui nous présentera le rôle et les actions concrètes de la BCI (Brigade de Criminalité Informatique – Police Genève).
Operational Insight est la réponse de Microsoft au défi technique de la collecte et analyse des informations depuis tous les serveurs sans les contraintes que peuvent parfois apporter des outils traditionnels comme Operations Manager. Avec ou sans Operations Manager, vous avez maintenant un outil basé sur la puissance d’analyse du cloud Microsoft Azure, permettant la corrélation entre les données de performances et évènements importants de votre infrastructure.
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
- Un condensé de l’actualité des vulnérabilités et attaques ciblées du mois : Destover, FOVI, SPE, IMSI …
- Les 7 prévisions "cyber risques" pour l'année 2015
Lors de l’événement aOS Aix en Provence du jeudi 21 juin sponsorisé par Scala, vous avez pu échanger avec des experts des technologies Office 365 et Azure sur de nombreux sujets : les dernières nouveautés Azure, la mise en conformisation d’un SI avec le RGPD ou encore la création de Bots multicanaux.
Retrouvez le support de cette présentation !
Pour toute question ou pour vous accompagner sur vos problématiques, contactez-nous ! www.groupe-scala.com
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Une analyse de la sécurité d'Amazon Web services selon la norme ISO 27002 faite à l'occasion du séminaire cloud computing organisé par le centre de compétence technique (CCT) du CNES
http://cct.cnes.fr/cct05/public/2010/index.htm#seminaires
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...Nathalie Richomme
Le « cloud » est le nouveau mot-clé pour créer le buzz dans l’IT. Grâce aux nouvelles apps, accessoires, etc., nous utilisons ou stockons tous des données dans le cloud parfois sans parfois s’en rendre compte. Amazon, au-delà de son si populaire site marchand, dispose d’un vaste catalogue de web services (AWS). Au sein de ces services, l’un d’entre eux dipose d’un grand potentiel pour les développeurs 4D. Il s’agit d’Amazon Simple Storage Service (S3). S3 constitue la solution Amazon de stockage sur le Cloud.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Bonnes pratiques pour la gestion des opérations de sécurité AWSJulien SIMON
Modèle de sécurité partagée
Protection des données
Gestion des utilisateurs et des autorisations
Journalisation des données
Automatisation des vérifications
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Azure Service Fabric pour les développeursMicrosoft
"Venez découvrir comment Service Fabric va déverrouiller le potentiel de vos applications et de vos équipes : élasticité, modularité, scalabilité.
A travers de multiples démonstrations techniques, les secrets du développement pour Service Fabric vous seront révélés (Micro Services, Actor Model, Reliable storage, gestion des ressource).
"
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
1. TOP10 des meilleures pratiques
de sécurité pour AWS
Donnat Frédéric – Dir. Technique et CoFondateur de SecludIT
08/06/2017
2. SecludIT - Copyright et confidentiel - 2017
Notre mission
• SecludIT est un Editeur français qui aide les entreprises,
les hébergeurs ou infogéreurs à sécuriser leurs infrastructures
informatiques.
• Notre objectif est de démocratiser les meilleures techniques
préventives de sécurité informatique.
• SecludIT : acteur reconnu de l’industrie!
• Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel
qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware
3. SecludIT - Copyright et confidentiel - 2017
Sécurité AWS : Partage de responsabilité
Infrastructure globale
Services de base
Applications et contenu client
Gestion de plateforme, d’applications, d’identité et d’accès
Configuration du système d’exploitation, du réseau et du pare-feu
Chiffrement des
données côté client
Chiffrement des
données côté serveur
Protection du trafic
réseau
Emplacements
périphériques
Zone de
disponibilité
Régions
Calcul Stockage
Base de
données
Mise en réseau
Client
Responsable de la
sécurité « dans » le
cloud
AWS
Responsable de la
sécurité « du » cloud
4. SecludIT - Copyright et confidentiel - 2017
1 - Contrôle d’accès
• Segmenter le compte AWS pour les utilisateurs
• Opération, Administration, Auditeur
• Utilisation de AWS IAM :
• Identification, Authentification et Autorisation
• Rôles et Permissions
• Principe des « Moindres Privilèges » (IAM Policy simulator)
• Authentification à facteur multiple :
• Protection du compte « root »
• MFA device (Google Authenticator, …)
5. SecludIT - Copyright et confidentiel - 2017
2 – Segmentation réseau
• Identifier ses environnements :
• Production, Préproduction, Développement, Test
• Utilisation de AWS VPC :
• Cloisonnement réseau par « Zone » (Security Group, NACLs, …)
• Connection par « Jump Box / Bastion »
• « PAS » de configuration par défaut
• « PAS » de SSH / RDP ouvert sur internet (0.0.0.0/0)
6. SecludIT - Copyright et confidentiel - 2017
3 – Visibilité par inventaire permanent
• Maintenir à jour l’inventaire des services et ressources AWS utilisées :
• Utiliser AWS Config : 20 règles actuellement
• Identifier les ressources des partenaires :
• Eviter le problème de « shadow IT »
• Utiliser les « Tags » AWS
7. SecludIT - Copyright et confidentiel - 2017
4 – Logger les accès AWS
• Mettre en place des logs :
• Logs d’accès avec AWS CloudTrail
• Logs d’utilisation des ressources et application avec AWS CloudWatch
• Logs d’accès réseau avec Flow Logs dans les sous-réseaux VPC
• Mettre en place un SIEM :
• Rediriger les logs dans un SIEM
• Contrôle externe de visibilité :
• Utilisation des APIs AWS
8. SecludIT - Copyright et confidentiel - 2017
5 – Images et Instances
• Gérer les Images ou AMIs sur AWS :
• Maintenir ses Images à jour
• Problème du partage d’Image, volume, snapshot
• Durcir ses Images
• Nettoyer les instances avant d’en faire des Images
• Utiliser les « Tags » AWS
• Gérer les vulnérabilités des Instances
• Détection préventive des vulnérabilités
• « PAS » de configuration par défaut
• Intégrité des fichiers
• Utiliser AWS Inspector : Problème d’agent et peu de tests actuellement
9. SecludIT - Copyright et confidentiel - 2017
6 – Gestion des clés
• Gérer les clés d’API :
• Rotation des clés, Supprimer les anciennes clés
• Gestionnaire de clés
• « PAS » de partage de clés d’APIs :
• Délégation par rôle IAM
• Utilisateur dédié
• Gérer les clés SSH d’accès aux instances
• Gérer les clés de chiffrement :
• AWS CloudHSM
• AWS Key Management Service
10. SecludIT - Copyright et confidentiel - 2017
7 – Chiffrement de bout-en-bout
• Chiffrement des données :
• Stockage persistant S3 ou volume EBS
• Transport par canal sécurisé:
• confidentialité, intégrité, chiffrement, non-répudiation
• Interconnexion réseau local et Cloud AWS : « Chiffrer » la couche
transport
• Protection des données :
• Sauvegarder et tester la restauration régulièrement
• Versionner les données
• Eviter la suppression des données sur suppression des instances
11. SecludIT - Copyright et confidentiel - 2017
8 – Certificat SSL/TLS
• Transport par canal sécurisé par SSL/TLS :
• Utiliser des certificats SSL/TLS
• Gérer les certificats SSL/TLS et les listes de révocations
• Utiliser la dernière version du protocole TLS
• Utiliser des suites de chiffrements fortes
• Gérer les certificats SSL /TLS :
• AWS Certificate Manager
12. SecludIT - Copyright et confidentiel - 2017
9 – Auditer et Configurer des alertes
• Auditer régulièrement la configuration des services AWS :
• CIS Amazon Web Services Foundations
• CIS Amazon Web Service Three-Tier-Web
• Mettre en place la surveillance continue :
• Auditer la accès : AWS IAM
• Auditer la configuration réseau : AWS VPC
• SecurityGroup, Subnet, NACLs, …
• Auditer les services déployé sur AWS :
• Instances EC2
• Accès au Stockage (S3, EBS, …)
13. SecludIT - Copyright et confidentiel - 2017
10 – Eduquer les utilisateurs
• Mettre en place des procédures d’utilisation :
• Nouveau mode de consommation « Cloud »
• Décrire le fonctionnement AWS
• « Former » et « Responsabiliser » les utilisateurs :
• Expliquer comment utiliser AWS
• Expliquer les risques de sécurité
• Donner les raisons des mécanismes de sécurité mis en place
https://aws.amazon.com/fr/security/
https://secludit.com/blog/
https://elastic-workload-protector.secludit.com/
14. SecludIT - Copyright et confidentiel - 2017
QUESTIONS ?
Essayez et Adoptez Elastic Workload Protector !
Réduisez vos risques et vos coûts.