Fermer
  • Accueil
  • Cloud
  • Assurez la sécurité et la souveraineté de vos données dans le Cloud

Formation Assurez la sécurité et la souveraineté de vos données dans le Cloud

  • Cloud
  • Formation détaillée
Comprendre les risques et identifier les solutions pour sécuriser ses données dans le Cloud
Durée
Tarif
2197 € / pers. HT
Durée
Tarif
2197 € / pers. HT

Formation Assurez la sécurité et la souveraineté de vos données dans le Cloud

Prix
2197€ / pers. HT

Objectifs

  • Comprendre les risques dans le Cloud et les enjeux de sécurité
  • Démystifier les labels de sécurité du Cloud (SecNumCloud, AICPA SOC, EUCS, CSA STAR, …)
  • Identifier les solutions spécifiques pour sécuriser les données dans le Cloud

Programme

1 – Introduction à la sécurité dans le Cloud

  • Les cinq mythes de la sécurité dans le Cloud
  • L’architecture de référence du Cloud définie par le NIST
  • Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud
  • Le modèle de responsabilité partagée (client / fournisseur)
  • Rappel du cadre normatif ISO 2700x et des deux principales normes (27001 et 27002)
  • Les limites d’une certification 27001 dans le Cloud
  • Les nouvelles normes ISO/IEC 27017 et 27018 dédiées au Cloud

2 – La sécurité des données

  • Les trois méthodes de gestion des clés de chiffrement dans le Cloud
  • Les techniques de chiffrement spécifiques dans le Cloud (BYOK, HYOK et BYOE)
  • Le confinement hardware des clés (cartes et boîtiers HSM)
  • La certification et qualifications (ANSSI, critères communs et FIPS-140-2)
  • Les exigences en matière de cryptographie dans la certification européenne de sécurité EUCS
  • Le chiffrement à la volée avec préservation de format pour les applications SaaS
  • Pseudonymisation des données par la tokenisation

3 – Les solutions de sécurité spécifique au Cloud

  • Le risque « shadow IT » : comprendre, détecter, prévenir et remédier
  • Les solutions CASB (Cloud Access Security Broker)
  • Les solutions CWPP (Cloud Workload Protection Platform)
  • Les solutions CNAPP (Cloud-Native Application Protection Platform)
  • Les solutions CSPM (Cloud Security Posture Management)
  • Les solutions SSPM (SaaS Security Posture Management)

4 – Les principaux référentiels sur la sécurité dans le Cloud

  • Les risques dans le Cloud identifiés par l’ENISA
  • La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)
  • Les 11 principales menaces dans le Cloud selon la CSA
  • Les outils Cloud Controls Matrix (CCM) et le questionnaire CAIQ
  • La certification des connaissances en sécurité Cloud : CCSK et CCSP
  • Les certifications des fournisseurs : AWS Security Specialty, MS Azure Security Engineer, …
  • Le référentiel SecNumCloud de l’ANSSI et l’apport de la v3.2 pour se prémunir contre les lois extra-européennes
  • L’approche française du Cloud souverain vs Cloud de confiance

5 – Adopter le Cloud par une démarche basée sur les risques

  • Les spécificités de l’analyse de risque dans le Cloud
  • Le framework Mitre ATT&CK adapté au contexte du Cloud
  • Les quatre options de traitement des risques adaptées au Cloud
  • Elaborer une démarche pragmatique pour évaluer et traiter les risques dans le Cloud
  • Les mesures de sécurité pour traiter les risques spécifiques du Cloud (ISO 27017, CSA CCM, CIS…)

6 – Comment évaluer la sécurité des fournisseurs ?

  • Les cinq méthodes pour évaluer la sécurité des fournisseurs
  • Comment contourner les difficultés à effectuer des audits dans un Cloud public ?
  • Comment vérifier la conformité RGPD d’un fournisseur ?
  • Quelle est la pertinence de la certification ISO 27001 dans un contexte de Cloud public ?
  • Que valent les certifications / qualifications SecNumCloud, HDS, CSA STAR, SOC1, SOC2, …
  • Que peut-on attendre de la certification de sécurité européenne des services Cloud (EUCS)

7 – Le contrat Cloud et aspects juridiques

  • Les clauses de sécurité indispensables à insérer dans un contrat de Cloud
  • La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
  • Les accords de service dans le Cloud (SLA) : exemple sur un service critique d’un CSP
  • Comprendre les notions de pénalités vs indemnités : exemple avec l’incendie d’OVH
  • Les assurances cyber dans le Cloud : périmètre, garanties et limites
  • Quelles sont les responsabilités juridiques des fournisseurs ? Quid des sous-traitants du fournisseur ?
  • La directive européenne NIS2 et les obligations de sécurité des clients et fournisseurs
  • Le cadre juridique des données à caractère personnel (RGPD, CCT, BCR…)
  • Les obligations règlementaires imposées par le RGPD aux clients et aux fournisseurs
  • L’impact des lois américaines (Freedom Act, FISA, CLOUD Act) sur la sécurité du Cloud dans l’UE
  • CLOUD Act : quelle est la réalité de la menace sur les données européennes ?
Afficher plus

À qui s’adresse
cette formation ?

Public

DSI, RSSI, DPO, consultants, chefs de projets, responsables fonctionnels et maitrises d’ouvrage.

Prérequis

Aucun.

Animateur

Le mot de l'animateur

« Peut-on véritablement assurer la sécurité des données dans le Cloud ? Avec une vision résolument optimiste mais réaliste, je vous donne les clés pour évaluer les enjeux et les risques dans le Cloud. En identifiant les offres de sécurité proposées par les fournisseurs et les solutions tierces (BYOK, BYOE, CASB, CWPP, CNAPP, CSPM, SSPM) disponibles sur le marché, vous aurez en main tous les éléments pour sécuriser vos données dans le Cloud. »
Boris MOTYLEWSKI
Découvrir l'animateur

Modalités

Méthodologie pédagogique

Présentation avec analyse technique et déclinaison opérationnelle de tous les points identifiés dans le programme, illustrations réelles et retours d’expérience. Cette formation concrète et pragmatique repose sur un savoir-faire acquis sur de nombreux projets de taille variée au sein d’établissements et d’entreprises de différents secteurs. Support de cours téléchargeable en début de formation.

Méthodologie d’évaluation

Le stagiaire reçoit en amont de la formation un questionnaire permettant de mesurer les compétences, profil et attentes du stagiaire. Tout au long de la formation, les stagiaires sont évalués au moyen de différentes méthodes (quizz, ateliers, exercices et/ou de travaux pratiques, etc.) permettant de vérifier l'atteinte des objectifs. Un questionnaire d'évaluation à chaud est soumis à chaque stagiaire en fin de formation pour s’assurer de l’adéquation des acquis de la formation avec les attentes du stagiaire. Une attestation de réalisation de la formation est remise au stagiaire.

À qui s’adresse
cette formation ?

Public

DSI, RSSI, DPO, consultants, chefs de projets, responsables fonctionnels et maitrises d’ouvrage.

Prérequis

Aucun.

Autres formations sur le même thème