Formation Sécurité du Cloud : l’état de l’art

Identifier les risques, sécuriser ses données et assurer sa conformité règlementaire dans le Cloud

Présentation

Dans un contexte d’adoption massive du cloud, accélérée avec la crise sanitaire, la question de la sécurité est devenue plus que jamais primordiale. Pour cela, il est important de bien comprendre les enjeux et les risques dans le Cloud. Illustrée par de nombreux exemples et cas pratiques, la formation sécurité du Cloud répond clairement à des questions telles que :

  • Peut-on raisonnablement mettre des données sensibles voire critiques dans un Cloud public ?
  • Comment vérifier les garanties d’un fournisseur en matière de sécurité ?
  • Comment déployer des solutions de chiffrement innovantes (BYOK / HYOK) ou de type CASB ?
  • Quelles sont les clauses de sécurité indispensables à insérer dans un contrat de Cloud Computing ?
  • Quels sont les risques spécifiques liés au choix d’un fournisseur américain ?
Afficher plus

Le mot de l'animateur

« Avec une vision optimiste mais réaliste, je vous donne les clés pour évaluer les enjeux et les risques dans le Cloud. En identifiant les solutions de sécurité proposées par les fournisseurs et les solutions CASB disponibles aujourd’hui sur le marché, vous aurez en main toutes les solutions pour sécuriser vos données dans le Cloud. »
Boris MOTYLEWSKI
Découvrir l'animateur

Objectifs

  • Comprendre les risques dans le Cloud et les enjeux de sécurité.
  • Identifier le rôle, les devoirs et les responsabilités des fournisseurs en matière de sécurité.
  • Construire une méthodologie pour mesurer l’exposition aux risques d’un projet Cloud et sélectionner les meilleures solutions pour les mitiger.
  • Démystifier les labels de sécurité (SecNumCloud, AICPA SOC, ISO 27001, ENISA EUCS, CSA STAR, etc.).
  • Comprendre les spécificités juridiques des fournisseurs US (Annulation du Privacy Shield, FISA, Patriot Act et Cloud Act).

Programme

1 – Introduction à la sécurité dans le Cloud

Cloud Computing : rappel des fondamentaux

  • Les cinq mythes de la sécurité dans le Cloud.
  • L’architecture de référence définie par le NIST.
  • Comprendre pourquoi la sécurité est le principal frein à l’adoption du Cloud.
  • La répartition des responsabilités entre client et fournisseur selon les modèles.

Les normes ISO dédiées au Cloud

  • Rappel du cadre normatif ISO 2700x et des trois principales normes (27001, 27002 et 27005).
  • Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence).
  • La norme ISO/IEC 27017:2015 pour identifier les mesures de sécurité pertinentes dans le Cloud.
  • La norme ISO/IEC 27018:2014 pour la sécurité des données personnelles dans le Cloud.

2 – La sécurité des données

Utilisation pertinente de la cryptographie dans le Cloud

  • Rappel des fondamentaux (cryptographie, cryptanalyse, etc.).
  • Les trois méthodes de gestion des clés de chiffrement dans le Cloud.
  • Les approches BYOK (Bring Your Own Key) et HYOK (Hold Your Own Key).
  • Le confinement hardware des clés (cartes et boîtiers HSM).
  • La certification et qualifications (ANSSI, critères communs et FIPS-140-2).
  • Le chiffrement à la volée avec préservation de format pour les applications SaaS.
  • Les bonnes pratiques en matière de chiffrement et les recommandations de l’ANSSI et de l’ENISA.

Autres techniques de protection des données

  • Comprendre le cycle de vie des données dans le Cloud.
  • L’importance de la classification dans les projets Cloud.
  • L’anonymisation et la pseudonymisation des données.
  • Tokenisation des données, hachage avec clé, hachage avec sel, etc.

3 – Le Shadow IT et les solutions de CASB

Comprendre et maîtriser le phénomène Shadow IT

  • Comprendre l’origine du Shadow IT pour mieux l’anticiper.
  • Les solutions pour détecter les activités Shadow IT dans le Cloud.
  • Comprendre et remédier au problème.
  • Le fonctionnement général d’une solution CASB.
  • Les quatre modes de déploiement.
  • Les critères de choix d’une solution CASB.

4 – Les risques techniques dans le Cloud

Les risques liés à la virtualisation

  • Quelles sont les technologies de virtualisation déployées dans les principales offres de Cloud public ?
  • Panorama des menaces et vulnérabilités spécifiques à la virtualisation et aux containers.
  • Virtualisation des réseaux avec le SDN : quel apport pour la sécurité ?
  • Les bonnes pratiques pour la sécurité des environnements virtuels.
  • Les recommandations de l’ANSSI, de l’ENISA et du NIST (SP 800-125).
  • Pourquoi les solutions anti-malware classiques sont inadaptées aux infrastructures virtualisées ?

La sécurisation des accès au Cloud

  • L’apport sécurité des protocoles TLS, IPsec et IPv6.
  • Les solutions classiques (https et SSH) pour accéder en toute sécurité au Cloud.
  • Comment la consumérisation de l’IT et le BYOD impactent-ils la sécurité du Cloud ?

5 – Les principaux référentiels sur la sécurité dans le Cloud

La sécurité du Cloud selon l’ENISA

  • Comment utiliser la norme ISO 27005 pour évaluer les risques dans le Cloud ?
  • Les risques identifiés par l’ENISA et le traitement approprié.
  • La certification EUCS de l’ENISA (European Union Cybersecurity Certification Scheme on Cloud Services)

La sécurité du Cloud analysée par la Cloud Security Alliance (CSA)

  • Le référentiel « Security Guidance for Critical Areas of Focus in Cloud Computing » : comment mettre en œuvre ces recommandations de façon pragmatique ?
  • Les douze principales menaces identifiées dans le Cloud.
  • Le framework OCF et l’annuaire STAR (Security, Trust and Assurance Registry) pour la transparence des pratiques de sécurité des fournisseurs de Cloud.
  • Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
  • La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge) et CCSP (Certified Cloud Security Professional).

L’approche française de la sécurité du Cloud

  • Les recommandations de l’État français (ANSSI et DGSI).
  • Le référentiel ANSSI de qualification de prestataires de services sécurisés d’informatique en nuage (SecNumCloud).
  • Le label “Cloud de confiance” pour héberger le Health Data Hub après la polémique des données chez Microsoft.
  • Les sept recommandations de la CNIL pour protéger les données à caractère personnel dans le Cloud.
  • Les Clouds souverains Andromède (Numergy et Cloudwatt) : raisons de l’échec et enseignements.
  • Que peut-on attendre du projet de meta-cloud européen GAIA-X ?

6 – Adopter le Cloud par une démarche basée sur les risques

Analyse de risques dans le Cloud

  • Les fondamentaux de la gestion des risques et méthodes associées (MEHARI, EBIOS, ISO 27005).
  • Comment réaliser une analyse de risques spécifique pour un projet Cloud ?
  • Comment réaliser une PIA pour un traitement de données personnelles dans le Cloud ?
  • Les quatre options de traitement des risques adaptées au Cloud.

Elaborer une démarche pragmatique

  • La classification des données : pourquoi est-ce indispensable dans le Cloud ? Quelle taxonomie retenir ?
  • Comment évaluer son seuil de tolérance aux risques ?
  • Comment construire une grille d’évaluation des risques d’une solution Cloud ?
  • Quelles mesures de sécurité pour traiter les risques dans le Cloud (ISO 27017, CSA CCM, etc.) ?
  • La méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

7 – Évaluer la sécurité des fournisseurs

Comment évaluer la sécurité d’un fournisseur Cloud ?

  • Les cinq approches pour évaluer la sécurité des fournisseurs.
  • Comment contourner les réelles difficultés à effectuer des audits dans un Cloud public ?
  • Comment vérifier la conformité RGPD d’un fournisseur ?
  • Que valent les certifications de sécurité ISO 27001 ou SSAE18 SOC2 type II affichées par les fournisseurs ?
  • Que valent les labels de sécurité SecNumCloud, ENISA EUCS, CSA STAR, Cloud Confidence, CISPE ?
  • Comment opérer un contrôle continu de la sécurité pendant toute la durée de vie du contrat ?
  • Quels sont les indicateurs de sécurité pertinents dans le Cloud ?
  • Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

8 – Le contrat Cloud et aspects juridiques

Le contrat de Cloud Computing

  • Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité, effacement des données…)
  • Les clauses de réversibilité (amont et aval) pour ne pas se faire piéger par un fournisseur.
  • La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
  • L’importance de la localisation des données et de la juridiction retenue.
  • Les accords de service dans le Cloud (SLA). Comprendre les notions pénalités vs indemnités.

Aspects juridiques

  • Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
  • Comment les atteintes aux STAD s’appliquent-elles dans un contexte de Cloud international ?
  • Le cadre juridique des données à caractère personnel (RGPD/GDPR, CCT, BCR…)
  • Comment le nouveau règlement européen (RGPD) impacte les clients et les fournisseurs de services ?
  • Après l’annulation du « « Privacy Shield », quelles solutions pour le traitement de données personnelles aux USA ?
  • Freedom Act., FISA, Cloud Act : Comment les lois américaines menacent-elles les données dans le monde ?
  • Le cadre juridique des données de santé à caractère personnel.
  • Les hébergeurs de données de santé et la certification HDS.
Afficher plus

Public

DSI, RSSI, DPO, consultants, chefs de projets, responsables fonctionnels et maitrises d’ouvrage.

Prérequis

Connaissances de base en Systèmes d’Information.

Méthodologie

METHODES PEDAGOGIQUES : Présentation magistrale avec analyse technique et déclinaison opérationnelle de tous les points identifiés dans le programme et METHODES PEDAGOGIQUES : Illustrations concrètes avec exemples réels et retours d’expérience.
METHODES D'EVALUATION : Le stagiaire reçoit en amont de la formation un questionnaire permettant de mesurer les compétences, profil et attentes du stagiaire. Tout au long de la formation, les stagiaires sont évalués au moyen de différentes méthodes (quizz, ateliers, exercices et/ou de travaux pratiques, etc.) permettant de vérifier l'atteinte des objectifs. Un questionnaire d'évaluation à chaud est soumis à chaque stagiaire en fin de formation pour s’assurer de l’adéquation des acquis de la formation avec les attentes du stagiaire. Une attestation de réalisation de la formation est remise au stagiaire.

Présentation de la formation en vidéo

92%

de participants satisfaits sur les 12 derniers mois
Cloud Computing

Sécurité du Cloud : l’état de l’art

Découvrez comment sécuriser ses données dans le Cloud, maitriser les risques des fournisseurs US et assurer une parfaite conformité au RGPD.
  •  
  • 2095 € H.T

Autres formations sur le même thème