Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Sécurité du Cloud : l’état de l’art Paris
Sécurité du Cloud : l’état de l’art Paris
DURéE
2 jours
DATES
5-6 avril 2018
11-12 octobre 2018
LIEU
Paris
PRIX
1 965 € ht (2 358 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité du Cloud : l’état de l’art

    >  Maîtriser les risques, évaluer la sécurité des fournisseurs
    et sécuriser vos données dans le Cloud




    Si le Cloud Computing permet de gagner en agilité et de réduire potentiellement les coûts, il bouleverse le management traditionnel de la sécurité de l’information. Avec une analyse détaillée des risques inhérents aux services de Cloud, ce séminaire permet de comprendre pourquoi l’adoption du Cloud nécessite une approche différente de l’externalisation classique tant sur le plan juridique que technique. Il détaille la méthodologie à suivre pour mesurer l’exposition aux risques de tout projet Cloud et choisir les meilleures solutions sur la base de critères objectifs.

    Illustré par de nombreux exemples et cas pratiques, ce séminaire répond clairement à des questions telles que :

      Peut-on raisonnablement mettre des données sensibles dans un Cloud public ?

      Pourquoi le chiffrement ne suffit pas à assurer la sécurité des données ?

      Quels sont les principaux risques dans le Cloud ? Comment les traiter ?

      Comment choisir et déployer une solution CASB ?

      Quelles sont les clauses de sécurité indispensables à insérer dans un contrat de Cloud Computing ?

      Comment peut-on évaluer la sécurité d’un fournisseur de Cloud public ?

      Qu’apportent les nouvelles normes ISO dédiées à la sécurité du Cloud ?

    LE MOT DE L’INTERVENANT

    « Dans ce séminaire, je vous donne les clés pour évaluer la sécurité du Cloud par une analyse des risques et une évaluation indépendante des fournisseurs. Avec panorama des solutions sécurité des fournisseurs
    et des offres CASB, vous aurez en main toutes les solutions pour sécuriser vos données dans le Cloud. »

    Boris Motylewski

    Ingénieur de formation et expert judiciaire près la cour d’appel de Montpellier.
    Il est le Président fondateur de la société Verisafe spécialisée en cybersécurité.



    Introduction à la sécurité dans le Cloud


    Cloud Computing : rappel des fondamentaux

    • Les quatre modèles de déploiement (privé, public, communautaire et hybride).
    • Les trois modèles de service (SaaS, PaaS et IaaS).
    • Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
    • La répartition des responsabilités entre client et fournisseur selon les modèles.

    Le Cloud en tant que fournisseur de sécurité

    • SecaaS ou la sécurité comme un service (Security as a Service).
    • Les principales offres SecaaS (Identity and Access Management, Data Loss Prevention, Web Security, Email Security, Security Assessments, Intrusion Management, Security Information and Event Management, Encryption, Business Continuity and Disaster Recovery, Network Security).

    La sécurité des données


    Utilisation de la cryptographie

    • Comprendre les fondamentaux (cryptographie, cryptanalyse, kleptographie, etc.).
    • Les trois approches de gestion des clés de chiffrement dans le Cloud.
    • Les enjeux du chiffrement homomorphe.
    • Le chiffrement à la volée avec préservation de format.
    • Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.

    Autres techniques de protection des données

    • Comprendre le cycle de vie des données dans le Cloud.
    • La classification des données. L’importance de la classification dans les projets Cloud.
    • L’anonymisation et la pseudonymisation des données.

    La sécurité de la virtualisation


    Les risques liés à la virtualisation des serveurs

    • Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
    • Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
    • Attaques sur les machines virtuelles (VM Escape, VM Hopping, VM Theft et VM Sprawl).
    • Hyperkit et hyperjacking : mythe ou réalité ?

    Protection des environnements virtuels

    • Utilisation de la virtualisation pour accroître la sécurité du SI.
    • L’approche sécurité de VMware : API VMsafe, partenariats et offre produit VShield Endpoint.
    • La gestion des incidents de sécurité dans un environnement virtualisé.
    • Les bonnes pratiques pour la sécurité des environnements virtuels.
    • Les recommandations de l’ANSSI, de l’ENISA et du NIST (SP 800-125).
    • Pourquoi les solutions anti-malware classiques sont-elles inadaptées aux infrastructures virtualisées ?

    La sécurité des accès au Cloud et des terminaux


    La sécurisation des accès au Cloud

    • L’apport sécurité des protocoles IPsec et IPv6.
    • Les technologies classiques de VPN (L2TP, IPsec, VPN SSL) sont-elles adaptées au Cloud ?
    • Les solutions spécifiques d’accès au Cloud (Ex : CloudGate d’Intercloud)
    • Les solutions CASB (Cloud Access Security Broker) sont-elles simplement utiles ou indispensables ?
    • Panorama de l’offre CASB actuellement disponible sur le marché.

    La sécurité des postes clients

    • Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?
    • Smartphones et tablettes Windows, iOS et Android : quels sont les risques ? Peut-on y remédier ?
    • Le navigateur Web est-il le talon d’Achille de la sécurité du Cloud ?
    • Les bonnes pratiques pour sécuriser les postes clients.

    Les principaux travaux sur la sécurité dans le Cloud


    La sécurité du Cloud selon l’ENISA

    • Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
    • Les 23 risques identifiés par l’ENISA (risques politiques et organisationnels, risques techniques, risques juridiques et risques non spécifiques au Cloud).
    • Le TOP 10 des risques ENISA et le traitement approprié.
    • Les recommandations de l’ENISA pour la sécurité des Clouds gouvernementaux.

    La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)

    • Le référentiel "Security Guidance for Critical Areas of Focus in Cloud Computing". Comment mettre en œuvre ces recommandations de façon pragmatique ? Quels sont les points sensibles et les principales précautions à prendre ?
    • Les 12 principales menaces identifiées dans le Cloud.
    • Le framework OCF et l’annuaire STAR (Security, Trust & Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
    • Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
    • La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).
    • CCSK ou CCSP (Certified Cloud Security Professional) : quelle certification choisir ?

    L’approche française de la sécurité du Cloud

    • Les recommandations de l’État français (ANSSI). Le guide ANSSI : "Maîtriser les risques de l’infogérance".
    • Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage (SecNumCloud).
    • Les recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
    • Le point de vue des grandes entreprises françaises et des cabinets d’audit français (CIGREF et AFAI)
    • Les clouds souverains Andromède (Numergy & Cloudwatt) : les raisons de l’échec.

    Adopter le Cloud par une démarche basée sur les risques


    Analyse de risques dans le Cloud

    • Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS , ISO 27005)
    • Comment réaliser un analyse de risques spécifique pour un projet cloud ?
    • Les 4 options de traitement des risques adaptées au cloud.
    • Comment construire une matrice MERC (Matrice d’évaluation des risques dans le Cloud)

    Elaborer une démarche pragmatique

    • La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
    • Comment évaluer son seul de tolérance aux risques ?
    • Comment construire une grille d’évaluation des risques d’une solution Cloud ?
    • Quelles mesures de sécurité pour traiter les risques dans le cloud (ISO 27017, CSA CCM, etc.) ?
    • La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

    Évaluer la sécurité des fournisseurs


    Comment évaluer la sécurité d’un fournisseur Cloud ?

    • Comment contrôler la sécurité dans le Cloud : Audit, test d’intrusion, P.A.S, qualification, certification ?
    • Que valent les certifications de sécurité ISO 27001 ou SSAE16 type II (SAS 70) affichées par les fournisseurs ?
    • Que valent les labels de sécurité SecNumCloud, European Secure Cloud, CSA STAR et Cloud confidence ?
    • Les nouvelles normes ISO (27017 et 27018) dédiées à la sécurité dans le Cloud
    • Comment opérer un contrôle continu de la sécurité pendant toute la durée de vie du contrat ? Quels sont les indicateurs de sécurité pertinents dans le cloud ?
    • Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

    Le contrat Cloud et aspects juridiques


    Le contrat de Cloud computing

    • Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité, effacement des données…)
    • Les clauses de réversibilité (amont et aval) pour ne pas se faire pièger par un fournisseur
    • La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
    • L’important de la localisation des données et de la juridiction retenue
    • Les accords de service dans le cloud (SLA). Pénalités et indemnités bien comprendre les différences

    Aspects juridiques

    • Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
    • Le cadre juridique des données à caractère personnel (Directive 95/46 CE, GDPR, CCT, BCR…)
    • Comment le nouveau règlement européen (GDPR) impacte les clients et les fournisseurs de services ?
    • Après l’annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
    • Le point sur l’USA Patriot Act. Menace-t-il les données dans le Cloud à l’extérieur des USA ?
    • En quoi consistent exactement les programmes secrets de la NSA (PRISM, XKeyscore, Bullrun) révélés par Edward Snowden ? Remettent-ils en cause la sécurité des données dans le Cloud ? Existe-t-il des programmes similaires en France ou en Europe ?
    • Le cadre juridique des données de santé à caractère personnel (loi de modernisation de notre système de santé du 26 janvier 2016)
    • Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données, etc.)