Sécurité du Cloud : l’état de l’art

Introduction à la sécurité dans le Cloud

Cloud Computing : rappel des fondamentaux

• Les cinq mythes de la sécurité dans le Cloud.
• L’architecture de référence définie par le NIST.
• Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud.
• La répartition des responsabilités entre client et fournisseur selon les modèles.

Les normes ISO dédiées au Cloud

• Rappel du cadre normatif ISO 2700x et des trois principales normes (27001, 27002 et 27005).
• Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence).
• La norme ISO/IEC 27017:2015 pour identifier les mesures de sécurité pertinentes dans le Cloud.
• La norme ISO/IEC 27018:2014 pour la sécurité des données personnelles dans le Cloud.

La sécurité des données

Utilisation pertinente de la cryptographie dans le Cloud

• Rappel des fondamentaux (cryptographie, cryptanalyse, etc.).
• Les trois approches de gestion des clés de chiffrement dans le Cloud.
• Les approches BYOK (Bring Your Own Key) et KSaaS (Key Storage as a Service).
• Le confinement hardware des clés (cartes et appliances HSM).
• La certification et qualifications (ANSSI, critères communs et FIPS-140-2).
• Le chiffrement à la volée avec préservation de format pour les applications SaaS.
• Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.

Autres techniques de protection des données

• Comprendre le cycle de vie des données dans le Cloud.
• L’importance de la classification dans les projets Cloud.
• L’anonymisation et la pseudonymisation des données.
• Tokenisation des données, hachage avec clé, hachage avec sel, etc.

Le Shadow IT et les solutions de CASB

Comprendre et maîtriser le phénomène Shadow IT

• Comprendre l’origine du Shadow IT.
• Les 3 axes pour anticiper le phénomène.
• Les solutions pour détecter toutes les activités Shadow IT dans le Cloud.
• Comprendre et remédier au problème.
• Le fonctionnement général d’une solution CASB.
• Les quatre modes de déploiement.
• Les critères de choix d’une solution CASB.

Les risques techniques dans le Cloud

Les risques liés à la virtualisation des serveurs

• Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
• Panorama des menaces et vulnérabilités spécifiques à la virtualisation.
• Les bonnes pratiques pour la sécurité des environnements virtuels.
• Les recommandations de l’ANSSI, de l’ENISA et du NIST (SP 800-125).
• Pourquoi les solutions anti-malware classiques sont inadaptées aux infrastructures virtualisées ?

La sécurisation des accès au Cloud

• L’apport sécurité des protocoles IPsec et IPv6.
• Les technologies classiques de VPN (L2TP, IPsec, VPN SSL) sont-elles adaptées au Cloud ?
• Les solutions spécifiques d’accès au Cloud (exemple : CloudGate d’InterCloud).
• Les solutions classiques (https et SSH) pour accéder en toute sécurité au Cloud.
• Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?

Les principaux référentiels sur la sécurité dans le Cloud

La sécurité du Cloud selon l’ENISA

• Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
• Les vingt-trois risques identifiés par l’ENISA (risques politiques et organisationnels, risques techniques, risques juridiques et risques non spécifiques au Cloud).
• Le TOP 10 des risques ENISA et le traitement approprié.
• Les recommandations de l’ENISA pour la sécurité des Clouds gouvernementaux.

La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)

• Le référentiel «  Security Guidance for Critical Areas of Focus in Cloud Computing  ». Comment mettre en œuvre ces recommandations de façon pragmatique ?
• Les douze principales menaces identifiées dans le Cloud.
• Le framework OCF et l’annuaire STAR (Security, Trust and Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
• Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
• La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).
• CCSK ou CCSP (Certified Cloud Security Professional) : quelle certification choisir ?

L’approche française de la sécurité du Cloud

• Les recommandations de l’État français (ANSSI).
• Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage (SecNumCloud).
• Les sept recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
• Le point de vue des grandes entreprises françaises et des cabinets d’audit français (CIGREF et AFAI).
• Les Clouds souverains Andromède (Numergy et Cloudwatt) : raisons de l’échec et enseignements.

Adopter le Cloud par une démarche basée sur les risques

Analyse de risques dans le Cloud

• Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS, ISO 27005).
• Comment réaliser une analyse de risques spécifique pour un projet Cloud ?
• Comment réaliser une PIA pour un traitement de données personnelles dans le Cloud ?
• Les quatre options de traitement des risques adaptées au Cloud.

Elaborer une démarche pragmatique

• La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
• Comment évaluer son seuil de tolérance aux risques ?
• Comment construire une grille d’évaluation des risques d’une solution Cloud ?
• Quelles mesures de sécurité pour traiter les risques dans le Cloud (ISO 27017, CSA CCM, etc.) ?
• La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

Évaluer la sécurité des fournisseurs

Comment évaluer la sécurité d’un fournisseur Cloud ?

• Les cinq approches pour évaluer la sécurité des fournisseurs.
• Comment contourner les réelles difficultés à effectuer des audits dans un Cloud public ?
• Comment vérifier la conformité RGPD d’un fournisseur ?
• Que valent les certifications de sécurité ISO 27001 ou SSAE16 type II (SAS 70) affichées par les fournisseurs ?
• Que valent les labels de sécurité SecNumCloud, European Secure Cloud, CSA STAR, Cloud Confidence, CISPE ?
• Comment opérer un contrôle continu de la sécurité pendant toute la durée de vie du contrat ? Quels sont les indicateurs de sécurité pertinents dans le Cloud ?
• Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

Le contrat Cloud et aspects juridiques

Le contrat de Cloud Computing

• Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité, effacement des données…)
• Les clauses de réversibilité (amont et aval) pour ne pas se faire piéger par un fournisseur.
• La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
• L’importance de la localisation des données et de la juridiction retenue.
• Les accords de service dans le Cloud (SLA). Bien comprendre les différences entre pénalités et indemnités.

Aspects juridiques

• Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
• Comment les atteintes aux STAD s’appliquent-elles dans un contexte de Cloud international ?
• Le cadre juridique des données à caractère personnel (RGPD/GDPR, CCT, BCR…)
• Comment le nouveau règlement européen (RGPD) impacte les clients et les fournisseurs de services ?
• Après l’annulation du «  Safe harbor  », quelles sont les nouvelles garanties apportées par le «  Privacy Shield  » ?
• Patriot Act., FISA, Cloud Act : Comment les lois américaines menacent-elles les données dans le monde ?
• En quoi consistent exactement les programmes secrets de la NSA (PRISM, XKeyscore, Bullrun) révélés par Edward Snowden ? Remettent-ils en cause la sécurité des données dans le Cloud ? Existe-t-il des programmes similaires en France ou en Europe ?
• Le cadre juridique des données de santé à caractère personnel.
• Les hébergeurs de données de santé et la certification HDS.