Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Sécurité du Cloud : l’état de l’art Paris
Sécurité du Cloud : l’état de l’art Paris
DURéE
2 jours
DATES
23-24 mars 2017
10-11 octobre 2017
LIEU
Paris
PRIX
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité du Cloud : l’état de l’art

    >  Comprendre les risques inhérents au Cloud Computing, évaluer et contrôler la sécurité des fournisseurs de services




    Si le Cloud Computing permet de gagner en agilité et de réduire potentiellement les coûts, il bouleverse le management traditionnel de la sécurité de l’information. Avec une analyse détaillée des risques inhérents aux services de Cloud et une synthèse des principales recommandations françaises et internationales, ce séminaire permet de comprendre pourquoi l’adoption du Cloud nécessite une approche différente de l’externalisation classique tant sur le plan juridique que sur le plan de la sécurité de l’information. Il détaille la méthodologie à suivre pour mesurer l’exposition aux risques de tout projet Cloud et choisir les meilleures solutions sur la base de critères objectifs.

    Illustré de nombreux exemples et de cas pratiques, ce séminaire répond clairement à des questions telles que :

    • Peut-on raisonnablement mettre des données sensibles dans un Cloud public ? Quelles sont les données éligibles ?
    • Quels sont les principaux risques dans le Cloud ? Comment les traiter ?
    • Quelles sont les clauses de sécurité indispensables à insérer dans un contrat de Cloud Computing ?
    • Pourquoi le chiffrement ne suffit pas à assurer la sécurité des données ?
    • Comment évaluer la sécurité d’un fournisseur de Cloud public ? Que valent les certifications de sécurité ISO 27001, CSA STAR ou SAS 70 type II ?
    • Qu’apportent les nouvelles normes ISO (17788, 17789, 27017 et 27018) dédiées à la sécurité du Cloud ?
    • Quelle est l’approche française de la sécurité dans le Cloud (les recommandations ANSSI, CIGREF et CNIL) ?

    LE MOT DE L’INTERVENANT

    « Dans ce séminaire, je vous donne les clés pour évaluer l’éligibilité d’un projet IT au Cloud par une analyse des risques et une évaluation indépendante des fournisseurs et vous explique les principaux référentiels dédiés à la sécurité dans le Cloud (CSA, ENISA, CNIL, ANSSI, ISO). »

    Boris Motylewski



    Introduction à la sécurité dans le Cloud


    Cloud Computing : rappel des fondamentaux

    • Les quatre modèles de déploiement (privé, public, communautaire et hybride).
    • Les trois modèles de service (SaaS, PaaS et IaaS).
    • L’architecture de référence définie par le NIST.
    • Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
    • La répartition des responsabilités entre client et fournisseur selon les modèles.

    Le Cloud en tant que fournisseur de sécurité

    • SecaaS ou la sécurité comme un service (Security as a Service).
    • Les principales offres SecaaS (Identity and Access Management, Data Loss Prevention, Web Security, Email Security, Security Assessments, Intrusion Management, Security Information and Event Management, Encryption, Business Continuity and Disaster Recovery, Network Security).

    La sécurité des données


    Utilisation de la cryptographie

    • Comprendre les fondamentaux (cryptographie, cryptanalyse, kleptographie, etc.).
    • Les trois approches de gestion des clés de chiffrement dans le Cloud.
    • Les enjeux du chiffrement homomorphe.
    • Le chiffrement à la volée avec préservation de format.
    • Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.

    Autres techniques de protection des données

    • Comprendre le cycle de vie des données dans le Cloud.
    • La classification des données. L’importance de la classification dans les projets Cloud.
    • L’anonymisation et la pseudonymisation des données.

    La sécurité de la virtualisation


    Les risques liés à la virtualisation des serveurs

    • Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
    • Les avantages de la virtualisation pour la sécurisation du SI.
    • Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
    • Les six risques majeurs identifiés par le Gartner : comment les gérer ?
    • Attaques sur les machines virtuelles (VM Escape, VM Hopping, VM Theft et VM Sprawl).
    • Hyperkit et hyperjacking : mythe ou réalité ?

    Protection des environnements virtuels

    • Utilisation de la virtualisation pour accroître la sécurité du SI.
    • L’approche sécurité de VMware : API VMsafe, partenariats et offre produit VShield Endpoint.
    • La gestion des incidents de sécurité dans un environnement virtualisé.
    • Les bonnes pratiques pour la sécurité des environnements virtuels.
    • Les recommandations de l’ANSSI, du NIST (SP 800-125) et de la Cloud Security Alliance.
    • Pourquoi les solutions anti-malware classiques sont-elles inadaptées aux infrastructures virtualisées ?

    La sécurité des accès au Cloud et des terminaux


    La sécurisation des accès au Cloud

    • L’apport sécurité des protocoles IPsec et IPv6.
    • Les technologies classiques de VPN (L2TP, IPsec, VPN SSL) sont-elles adaptées au Cloud ?
    • Les firewalls UTM et les pare-feu applicatifs (WAF) sont-ils encore efficaces ?
    • Les solutions spécifiques d’accès au Cloud (Ex : CloudGate d’Intercloud)
    • Les solutions CASB (Cloud Access Security Broker) sont-elles simplement utiles ou indispensables ?
    • Panorama de l’offre CASB actuellement disponible sur le marché.

    La sécurité des postes clients

    • Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?
    • Smartphones et tablettes Windows, iOS et Android : quels sont les risques ? Peut-on y remédier ?
    • Le navigateur Web est-il le talon d’Achille de la sécurité du Cloud ?
    • Les bonnes pratiques pour sécuriser les postes clients.

    Les principaux travaux sur la sécurité dans le Cloud


    La sécurité du Cloud selon l’ENISA

    • Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
    • Les trente-cinq risques identifiés par l’ENISA (risques politiques et organisationnels, risques techniques, risques juridiques et risques non spécifiques au Cloud).
    • Les huit risques majeurs identifiés par l’ENISA et le traitement approprié.
    • Les recommandations de l’ENISA pour la sécurité des Clouds gouvernementaux.

    La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)

    • Le référentiel “Security Guidance for Critical Areas of Focus in Cloud Computing”. Comment mettre en œuvre ces recommandations de façon pragmatique ? Quels sont les points sensibles et les principales précautions à prendre ?
    • Les douze principales menaces identifiées dans le Cloud.
    • Le framework OCF et l’annuaire STAR (Security, Trust & Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
    • Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
    • La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).

    L’approche française de la sécurité du Cloud

    • Les recommandations de l’État français (ANSSI). Le guide ANSSI : “Maîtriser les risques de l’infogérance”.
    • Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage.
    • Les recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
    • Le point de vue des grandes entreprises françaises et des cabinets d’audit français (CIGREF et AFAI)
    • Les clouds souverains Andromède (Numergy & Cloudwatt) : les raisons de l’échec.

    Adopter le Cloud par une démarche basée sur les risques


    Analyse de risques dans le Cloud

    • Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS , ISO 27005)
    • Comment réaliser un analyse de risques pour un projet cloud ?
    • Les 4 options de traitement des risques adaptées au cloud.
    • Panorama des 42 risques identifiés dans le cloud.

    Elaborer une démarche pragmatique

    • La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
    • Comment évaluer son seul de tolérance aux risques ?
    • Comment construire une grille d’évaluation des risques d’une solution Cloud ?
    • Quelles mesures de sécurité pour traiter les risques dans le cloud (ISO 27017, CSA CCM, etc.) ?
    • La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

    Évaluer les fournisseurs et contractualiser la sécurité


    Comment évaluer la sécurité d’un Cloud public ?

    • Les 3 règles d’or pour établir une relation de confiance avec un prestataire de Cloud.
    • Comment peut-on contrôler la sécurité effective dans le Cloud : audit, test d’intrusion ?
    • Que valent les certifications de sécurité ISO 27001 ou SAS 70 type II affichées par les fournisseurs ?
    • Les nouvelles normes ISO (27017 & 27018) dédiées à la sécurité dans le Cloud.
    • Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat. Que faut-il mesurer et comment le mesurer ?
    • Comment sont détectés et notifiés les incidents de sécurité dans le Cloud.

      Clauses contractuelles et aspects juridiques

    • Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
    • Quelles sont les clauses de sécurité indispensables à insérer dans un contrat de Cloud Computing ?
    • Revue des garanties à fournir par le prestataire.
    • Pourquoi et comment la nationalité du fournisseur ou le lieu géographique des datacenters peuvent-ils influer sur la sécurité des données ou sur des contraintes juridiques ?
    • Le point sur l’USA Patriot Act. Menace-t-il les données dans le Cloud à l’extérieur des USA ?
    • En quoi consistent exactement les programmes secrets de la NSA (PRISM, XKeyscore, Bullrun) révélés par Edward Snowden ? Remettent-ils en cause la sécurité des données dans le Cloud ? Existe-t-il des programmes similaires en France ou en Europe ?
    • Peut-on transférer légalement des DCP (données à caractère personnel) à l’extérieur de l’UE ?
    • Que faire après l’annulation du Safe harbor par la CJUE ?