Sécurité du Cloud : l’état de l’art

Maîtriser les risques, évaluer les fournisseurs, sécuriser ses Données et assurer sa conformité règlementaire dans le Cloud.
Sommaire

LE MOT DE L’INTERVENANT

Dans ce séminaire, je vous donne les clés pour évaluer la...

Dans ce séminaire, je vous donne les clés pour évaluer la sécurité du Cloud par une analyse des risques et une évaluation indépendante des fournisseurs. Avec panorama des solutions sécurité des fournisseurs et des offres CASB, vous aurez en main toutes les solutions pour sécuriser vos données dans le Cloud.

Boris Motylewski
Ingénieur de formation et expert judiciaire près la cour d’appel de Montpellier, il est le président fondateur de la société Verisafe spécialisée en cybersécurité.
Lire la suite Cacher le texte


Si le Cloud Computing permet de gagner en agilité et de réduire potentiellement les coûts, il bouleverse le management traditionnel de la sécurité de l’information. Avec une analyse détaillée des risques inhérents aux services de Cloud, ce séminaire permet de comprendre pourquoi l’adoption du Cloud nécessite une approche différente de l’externalisation classique tant sur le plan organisationnel, technique que juridique. Il détaille la méthodologie à suivre pour mesurer l’exposition aux risques de tout projet Cloud et choisir les meilleures solutions sur la base de critères objectifs.

Illustré par de nombreux exemples et cas pratiques, ce séminaire répond clairement à des questions telles que :

  • Peut-on raisonnablement mettre des données sensibles dans un Cloud public ?
  • Pourquoi le chiffrement ne suffit pas à assurer la sécurité des données ?
  • Comment vérifier les garanties d’un fournisseur pour assurer une parfaite conformité RGPD ?
  • Quels sont les principaux risques dans le Cloud ? Comment y remédier ?
  • Comment choisir et déployer une solution de type BYOK ou CASB ?
  • Quelles sont les clauses de sécurité indispensables à insérer dans un contrat de Cloud Computing ?
  • Comment évaluer le niveau de sécurité réel d’un service dans le Cloud ?
  • Qu’apportent les nouvelles normes ISO dédiées à la sécurité du Cloud ?
  • Comment les lois américaines (Patriot Act, FISA, Cloud Act) menacent-elles les données dans le monde ?

Introduction à la sécurité dans le Cloud


Cloud Computing : rappel des fondamentaux

  • Les cinq mythes de la sécurité dans le Cloud.
  • L’architecture de référence définie par le NIST.
  • Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud.
  • La répartition des responsabilités entre client et fournisseur selon les modèles.

Les normes ISO dédiées au Cloud

  • Rappel du cadre normatif ISO 2700x et des trois principales normes (27001, 27002 et 27005).
  • Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence).
  • La norme ISO/IEC 27017:2015 pour identifier les mesures de sécurité pertinentes dans le Cloud.
  • La norme ISO/IEC 27018:2014 pour la sécurité des données personnelles dans le Cloud.

La sécurité des données


Utilisation pertinente de la cryptographie dans le Cloud

  • Rappel des fondamentaux (cryptographie, cryptanalyse, etc.).
  • Les trois approches de gestion des clés de chiffrement dans le Cloud.
  • Les approches BYOK (Bring Your Own Key) et KSaaS (Key Storage as a Service).
  • Le confinement hardware des clés (cartes et appliances HSM).
  • La certification et qualifications (ANSSI, critères communs et FIPS-140-2).
  • Le chiffrement à la volée avec préservation de format pour les applications SaaS.
  • Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.

Autres techniques de protection des données

  • Comprendre le cycle de vie des données dans le Cloud.
  • L’importance de la classification dans les projets Cloud.
  • L’anonymisation et la pseudonymisation des données.
  • Tokenisation des données, hachage avec clé, hachage avec sel, etc.

Le Shadow IT et les solutions de CASB


Comprendre et maîtriser le phénomène Shadow IT

  • Comprendre l’origine du Shadow IT.
  • Les 3 axes pour anticiper le phénomène.
  • Les solutions pour détecter toutes les activités Shadow IT dans le Cloud.
  • Comprendre et remédier au problème.
  • Le fonctionnement général d’une solution CASB.
  • Les quatre modes de déploiement.
  • Les critères de choix d’une solution CASB.

Les risques techniques dans le Cloud


Les risques liés à la virtualisation des serveurs

  • Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
  • Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
  • Les bonnes pratiques pour la sécurité des environnements virtuels.
  • Les recommandations de l’ANSSI, de l’ENISA et du NIST (SP 800-125).
  • Pourquoi les solutions anti-malware classiques sont-elles inadaptées aux infrastructures virtualisées ?

La sécurisation des accès au Cloud

  • L’apport sécurité des protocoles IPsec et IPv6.
  • Les technologies classiques de VPN (L2TP, IPsec, VPN SSL) sont-elles adaptées au Cloud ?
  • Les solutions spécifiques d’accès au Cloud (exemple : CloudGate d’InterCloud).
  • Les solutions classiques (https et SSH) pour accéder en toute sécurité au Cloud.
  • Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?

Les principaux travaux sur la sécurité dans le Cloud


La sécurité du Cloud selon l’ENISA

  • Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
  • Les vingt-trois risques identifiés par l’ENISA (risques politiques et organisationnels, risques techniques, risques juridiques et risques non spécifiques au Cloud).
  • Le TOP 10 des risques ENISA et le traitement approprié.
  • Les recommandations de l’ENISA pour la sécurité des Clouds gouvernementaux.

La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)

  • Le référentiel « Security Guidance for Critical Areas of Focus in Cloud Computing ». Comment mettre en œuvre ces recommandations de façon pragmatique ?
  • Les douze principales menaces identifiées dans le Cloud.
  • Le framework OCF et l’annuaire STAR (Security, Trust and Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
  • Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
  • La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).
  • CCSK ou CCSP (Certified Cloud Security Professional) : quelle certification choisir ?

L’approche française de la sécurité du Cloud

  • Les recommandations de l’État français (ANSSI).
  • Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage (SecNumCloud).
  • Les sept recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
  • Le point de vue des grandes entreprises françaises et des cabinets d’audit français (CIGREF et AFAI).
  • Les Clouds souverains Andromède (Numergy et Cloudwatt) : raisons de l’échec et enseignements.

Adopter le Cloud par une démarche basée sur les risques


Analyse de risques dans le Cloud

  • Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS , ISO 27005).
  • Comment réaliser une analyse de risques spécifique pour un projet Cloud ?
  • Comment réaliser une PIA pour un traitement de données personnelles dans le Cloud ?
  • Les quatre options de traitement des risques adaptées au Cloud.

Elaborer une démarche pragmatique

  • La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
  • Comment évaluer son seuil de tolérance aux risques ?
  • Comment construire une grille d’évaluation des risques d’une solution Cloud ?
  • Quelles mesures de sécurité pour traiter les risques dans le Cloud (ISO 27017, CSA CCM, etc.) ?
  • La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

Évaluer la sécurité des fournisseurs


Comment évaluer la sécurité d’un fournisseur Cloud ?

  • Les sept approches pour évaluer la sécurité des fournisseurs : audit, codes de conduite, certifications, Pentest, questionnaires, etc.
  • Comment contourner les réelles difficultés à effectuer des audits dans un Cloud public ?
  • Comment vérifier la conformité RGPD d’un fournisseur ?
  • Que valent les certifications de sécurité ISO 27001 ou SSAE16 type II (SAS 70) affichées par les fournisseurs ?
  • Que valent les labels de sécurité SecNumCloud, European Secure Cloud, CSA STAR et Cloud Confidence ?
  • Comment opérer un contrôle continu de la sécurité pendant toute la durée de vie du contrat ? Quels sont les indicateurs de sécurité pertinents dans le Cloud ?
  • Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

Le contrat Cloud et aspects juridiques


Le contrat de Cloud Computing

  • Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité, effacement des données…)
  • Les clauses de réversibilité (amont et aval) pour ne pas se faire piéger par un fournisseur.
  • La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
  • L’importance de la localisation des données et de la juridiction retenue.
  • Les accords de service dans le Cloud (SLA). Bien comprendre les différences entre pénalités et indemnités.

Aspects juridiques

  • Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
  • Comment les atteintes aux STAD s’appliquent-elles dans un contexte de Cloud international ?
  • Le cadre juridique des données à caractère personnel (RGPD/GDPR, CCT, BCR…)
  • Comment le nouveau règlement européen (RGPD) impacte les clients et les fournisseurs de services ?
  • Après l’annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
  • Patriot Act., FISA, Cloud Act : Comment les lois américaines menacent-elles les données dans le monde ?
  • En quoi consistent exactement les programmes secrets de la NSA (PRISM, XKeyscore, Bullrun) révélés par Edward Snowden ? Remettent-ils en cause la sécurité des données dans le Cloud ? Existe-t-il des programmes similaires en France ou en Europe ?
  • Le cadre juridique des données de santé à caractère personnel (loi de modernisation de notre système de santé du 26 janvier 2016)
  • Les hébergeurs de données de santé et la certification HDS.