1 – Introduction à la sécurité dans le Cloud

• Les cinq mythes de la sécurité dans le Cloud
• L’architecture de référence du Cloud définie par le NIST
• Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud
• Le modèle de responsabilité partagée (client / fournisseur)
• Rappel du cadre normatif ISO 2700x et des deux principales normes (27001 et 27002)
• Les limites d’une certification 27001 dans le Cloud
• Les nouvelles normes ISO/IEC 27017 et 27018 dédiées au Cloud

2 – La sécurité des données

• Les trois méthodes de gestion des clés de chiffrement dans le Cloud
• Les techniques de chiffrement spécifiques dans le Cloud (BYOK, HYOK et BYOE)
• Le confinement hardware des clés (cartes et boîtiers HSM)
• La certification et qualifications (ANSSI, critères communs et FIPS-140-2)
• Les exigences en matière de cryptographie dans la certification européenne de sécurité EUCS
• Le chiffrement à la volée avec préservation de format pour les applications SaaS
• Pseudonymisation des données par la tokenisation

3 – Les solutions de sécurité spécifique au Cloud

• Le risque « shadow IT » : comprendre, détecter, prévenir et remédier
• Les solutions CASB (Cloud Access Security Broker)
• Les solutions CWPP (Cloud Workload Protection Platform)
• Les solutions CNAPP (Cloud-Native Application Protection Platform)
• Les solutions CSPM (Cloud Security Posture Management)
• Les solutions SSPM (SaaS Security Posture Management)

4 – Les principaux référentiels sur la sécurité dans le Cloud

• Les risques dans le Cloud identifiés par l’ENISA
• La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)
• Les 11 principales menaces dans le Cloud selon la CSA
• Les outils Cloud Controls Matrix (CCM) et le questionnaire CAIQ
• La certification des connaissances en sécurité Cloud : CCSK et CCSP
• Les certifications des fournisseurs : AWS Security Specialty, MS Azure Security Engineer, …
• Le référentiel SecNumCloud de l’ANSSI et l’apport de la v3.2 pour se prémunir contre les lois extra-européennes
• L’approche française du Cloud souverain vs Cloud de confiance

5 – Adopter le Cloud par une démarche basée sur les risques

• Les spécificités de l’analyse de risque dans le Cloud
• Le framework Mitre ATT&CK adapté au contexte du Cloud
• Les quatre options de traitement des risques adaptées au Cloud
• Elaborer une démarche pragmatique pour évaluer et traiter les risques dans le Cloud
• Les mesures de sécurité pour traiter les risques spécifiques du Cloud (ISO 27017, CSA CCM, CIS…)

6 – Comment évaluer la sécurité des fournisseurs ?

• Les cinq méthodes pour évaluer la sécurité des fournisseurs
• Comment contourner les difficultés à effectuer des audits dans un Cloud public ?
• Comment vérifier la conformité RGPD d’un fournisseur ?
• Quelle est la pertinence de la certification ISO 27001 dans un contexte de Cloud public ?
• Que valent les certifications / qualifications SecNumCloud, HDS, CSA STAR, SOC1, SOC2, …
• Que peut-on attendre de la certification de sécurité européenne des services Cloud (EUCS)

7 – Le contrat Cloud et aspects juridiques

• Les clauses de sécurité indispensables à insérer dans un contrat de Cloud
• La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
• Les accords de service dans le Cloud (SLA) : exemple sur un service critique d’un CSP
• Comprendre les notions de pénalités vs indemnités : exemple avec l’incendie d’OVH
• Les assurances cyber dans le Cloud : périmètre, garanties et limites
• Quelles sont les responsabilités juridiques des fournisseurs ? Quid des sous-traitants du fournisseur ?
• La directive européenne NIS2 et les obligations de sécurité des clients et fournisseurs
• Le cadre juridique des données à caractère personnel (RGPD, CCT, BCR…)
• Les obligations règlementaires imposées par le RGPD aux clients et aux fournisseurs
• L’impact des lois américaines (Freedom Act, FISA, CLOUD Act) sur la sécurité du Cloud dans l’UE
• CLOUD Act : quelle est la réalité de la menace sur les données européennes ?

Ce programme a été mis à jour le 4 juillet 2024.