 |
Introduction à la sécurité dans le Cloud |
|
Cloud Computing : rappel des fondamentaux
- Les cinq mythes de la sécurité dans le Cloud.
- L’architecture de référence définie par le NIST.
- Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud.
- La répartition des responsabilités entre client et fournisseur selon les modèles.
Les normes ISO dédiées au Cloud
- Rappel du cadre normatif ISO 2700x et des trois principales normes (27001, 27002 et 27005).
- Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence).
- La norme ISO/IEC 27017:2015 pour identifier les mesures de sécurité pertinentes dans le Cloud.
- La norme ISO/IEC 27018:2014 pour la sécurité des données personnelles dans le Cloud.
|
 |
La sécurité des données |
|
Utilisation pertinente de la cryptographie dans le Cloud
- Rappel des fondamentaux (cryptographie, cryptanalyse, etc.).
- Les trois approches de gestion des clés de chiffrement dans le Cloud.
- Les approches BYOK (Bring Your Own Key) et KSaaS (Key Storage as a Service).
- Le confinement hardware des clés (cartes et appliances HSM).
- La certification et qualifications (ANSSI, critères communs et FIPS-140-2).
- Le chiffrement à la volée avec préservation de format pour les applications SaaS.
- Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.
Autres techniques de protection des données
- Comprendre le cycle de vie des données dans le Cloud.
- L’importance de la classification dans les projets Cloud.
- L’anonymisation et la pseudonymisation des données.
- Tokenisation des données, hachage avec clé, hachage avec sel, etc.
|
 |
Le Shadow IT et les solutions de CASB |
|
Comprendre et maîtriser le phénomène Shadow IT
- Comprendre l’origine du Shadow IT.
- Les 3 axes pour anticiper le phénomène.
- Les solutions pour détecter toutes les activités Shadow IT dans le Cloud.
- Comprendre et remédier au problème.
- Le fonctionnement général d’une solution CASB.
- Les quatre modes de déploiement.
- Les critères de choix d’une solution CASB.
|
 |
Les risques techniques dans le Cloud |
|
Les risques liés à la virtualisation des serveurs
- Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
- Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
- Les bonnes pratiques pour la sécurité des environnements virtuels.
- Les recommandations de l’ANSSI, de l’ENISA et du NIST (SP 800-125).
- Pourquoi les solutions anti-malware classiques sont inadaptées aux infrastructures virtualisées ?
La sécurisation des accès au Cloud
- L’apport sécurité des protocoles IPsec et IPv6.
- Les technologies classiques de VPN (L2TP, IPsec, VPN SSL) sont-elles adaptées au Cloud ?
- Les solutions spécifiques d’accès au Cloud (exemple : CloudGate d’InterCloud).
- Les solutions classiques (https et SSH) pour accéder en toute sécurité au Cloud.
- Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?
|
 |
Les principaux référentiels sur la sécurité dans le Cloud |
|
La sécurité du Cloud selon l’ENISA
- Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
- Les vingt-trois risques identifiés par l’ENISA (risques politiques et organisationnels, risques techniques, risques juridiques et risques non spécifiques au Cloud).
- Le TOP 10 des risques ENISA et le traitement approprié.
- Les recommandations de l’ENISA pour la sécurité des Clouds gouvernementaux.
La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)
- Le référentiel « Security Guidance for Critical Areas of Focus in Cloud Computing ». Comment mettre en œuvre ces recommandations de façon pragmatique ?
- Les douze principales menaces identifiées dans le Cloud.
- Le framework OCF et l’annuaire STAR (Security, Trust and Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
- Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
- La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).
- CCSK ou CCSP (Certified Cloud Security Professional) : quelle certification choisir ?
L’approche française de la sécurité du Cloud
- Les recommandations de l’État français (ANSSI).
- Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage (SecNumCloud).
- Les sept recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
- Le point de vue des grandes entreprises françaises et des cabinets d’audit français (CIGREF et AFAI).
- Les Clouds souverains Andromède (Numergy et Cloudwatt) : raisons de l’échec et enseignements.
|
 |
Adopter le Cloud par une démarche basée sur les risques |
|
Analyse de risques dans le Cloud
- Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS, ISO 27005).
- Comment réaliser une analyse de risques spécifique pour un projet Cloud ?
- Comment réaliser une PIA pour un traitement de données personnelles dans le Cloud ?
- Les quatre options de traitement des risques adaptées au Cloud.
Elaborer une démarche pragmatique
- La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
- Comment évaluer son seuil de tolérance aux risques ?
- Comment construire une grille d’évaluation des risques d’une solution Cloud ?
- Quelles mesures de sécurité pour traiter les risques dans le Cloud (ISO 27017, CSA CCM, etc.) ?
- La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).
|
 |
Évaluer la sécurité des fournisseurs |
|
Comment évaluer la sécurité d’un fournisseur Cloud ?
- Les cinq approches pour évaluer la sécurité des fournisseurs.
- Comment contourner les réelles difficultés à effectuer des audits dans un Cloud public ?
- Comment vérifier la conformité RGPD d’un fournisseur ?
- Que valent les certifications de sécurité ISO 27001 ou SSAE16 type II (SAS 70) affichées par les fournisseurs ?
- Que valent les labels de sécurité SecNumCloud, European Secure Cloud, CSA STAR, Cloud Confidence, CISPE ?
- Comment opérer un contrôle continu de la sécurité pendant toute la durée de vie du contrat ? Quels sont les indicateurs de sécurité pertinents dans le Cloud ?
- Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?
|
 |
Le contrat Cloud et aspects juridiques |
|
Le contrat de Cloud Computing
- Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité, effacement des données…)
- Les clauses de réversibilité (amont et aval) pour ne pas se faire piéger par un fournisseur.
- La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
- L’importance de la localisation des données et de la juridiction retenue.
- Les accords de service dans le Cloud (SLA). Bien comprendre les différences entre pénalités et indemnités.
Aspects juridiques
- Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
- Comment les atteintes aux STAD s’appliquent-elles dans un contexte de Cloud international ?
- Le cadre juridique des données à caractère personnel (RGPD/GDPR, CCT, BCR…)
- Comment le nouveau règlement européen (RGPD) impacte les clients et les fournisseurs de services ?
- Après l’annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
- Patriot Act., FISA, Cloud Act : Comment les lois américaines menacent-elles les données dans le monde ?
- En quoi consistent exactement les programmes secrets de la NSA (PRISM, XKeyscore, Bullrun) révélés par Edward Snowden ? Remettent-ils en cause la sécurité des données dans le Cloud ? Existe-t-il des programmes similaires en France ou en Europe ?
- Le cadre juridique des données de santé à caractère personnel.
- Les hébergeurs de données de santé et la certification HDS.
|