Enviar búsqueda
Cargar
2011 03-09-cloud sgi
•
0 recomendaciones
•
1,984 vistas
Sébastien GIORIA
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 37
Descargar ahora
Descargar para leer sin conexión
Recomendados
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
Eric Herschkorn
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Maxime ALAY-EDDINE
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
Ca cloud academy securité nauges
Ca cloud academy securité nauges
CloudAcademy
Recomendados
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
Eric Herschkorn
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Maxime ALAY-EDDINE
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
Ca cloud academy securité nauges
Ca cloud academy securité nauges
CloudAcademy
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
Securite Informatique Orthez
Securite Informatique Orthez
arnaudm
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r Reloaded
Cyber Security Alliance
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
The Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
Olivier DUPONT
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
Cci octobre 2014
Cci octobre 2014
Jean-Robert Bos
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Sylvain Maret
Snack S37-2015
Snack S37-2015
SNACK
Presentación Music Hero
Presentación Music Hero
guest9fba37
Más contenido relacionado
La actualidad más candente
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
Securite Informatique Orthez
Securite Informatique Orthez
arnaudm
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r Reloaded
Cyber Security Alliance
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
The Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
Olivier DUPONT
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
Cci octobre 2014
Cci octobre 2014
Jean-Robert Bos
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Sylvain Maret
La actualidad más candente
(20)
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
Securite Informatique Orthez
Securite Informatique Orthez
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r Reloaded
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
The Dark Side Of The Cloud
The Dark Side Of The Cloud
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Cci octobre 2014
Cci octobre 2014
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Destacado
Snack S37-2015
Snack S37-2015
SNACK
Presentación Music Hero
Presentación Music Hero
guest9fba37
DIGITAL COOKIES JUNE 001/06
DIGITAL COOKIES JUNE 001/06
Borderline Creatives
Redynamiser nos ventes
Redynamiser nos ventes
Eya Ben Othman
Ccf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possibles
0596957s
Pueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca Ronald
Univ Peruana Los Andes
Què es la tecnologìa
Què es la tecnologìa
Ciuad de Asis
Le Referencement Google
Le Referencement Google
ESTACOM Bourges - Communication | Créativité | Digital
Síndrome hellp
Síndrome hellp
jhonnny
Socializacion V2.1
Socializacion V2.1
Andrés Arias Torres
Air Du Nkam Auto
Air Du Nkam Auto
guestc36b2f
Shraddha
Shraddha
Rebecca Wilson
Etapas para utilizar tv
Etapas para utilizar tv
Ciuad de Asis
Nueva generacion padres familia
Nueva generacion padres familia
Carlos Medina
Rapport annuel 2011 2012
Rapport annuel 2011 2012
admchemins
Quebec
Quebec
sonejera
Taller De Disponible
Taller De Disponible
vanemontoherre
Mon futur profesionel brenda
Mon futur profesionel brenda
brendasnsd
My Manager
My Manager
guest61d4a8f
La veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservation
Né Kid
Destacado
(20)
Snack S37-2015
Snack S37-2015
Presentación Music Hero
Presentación Music Hero
DIGITAL COOKIES JUNE 001/06
DIGITAL COOKIES JUNE 001/06
Redynamiser nos ventes
Redynamiser nos ventes
Ccf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possibles
Pueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca Ronald
Què es la tecnologìa
Què es la tecnologìa
Le Referencement Google
Le Referencement Google
Síndrome hellp
Síndrome hellp
Socializacion V2.1
Socializacion V2.1
Air Du Nkam Auto
Air Du Nkam Auto
Shraddha
Shraddha
Etapas para utilizar tv
Etapas para utilizar tv
Nueva generacion padres familia
Nueva generacion padres familia
Rapport annuel 2011 2012
Rapport annuel 2011 2012
Quebec
Quebec
Taller De Disponible
Taller De Disponible
Mon futur profesionel brenda
Mon futur profesionel brenda
My Manager
My Manager
La veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservation
Similar a 2011 03-09-cloud sgi
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
Securité et gouvernance da
Securité et gouvernance da
CloudAcademy
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
2010 03-11-sdlc-v02
2010 03-11-sdlc-v02
Sébastien GIORIA
Osmosys Light Sept09
Osmosys Light Sept09
jprobst
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
Présentation au CRI-Ouest
Présentation au CRI-Ouest
Sébastien GIORIA
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
Cyber Security Alliance
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
Aadel1805
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
Nuvollo
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
Nuvollo
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
e-Xpert Solutions SA
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Yannick Quentel
Offre de service
Offre de service
rabah yahiaoui
Clusif cloud-2010-securite
Clusif cloud-2010-securite
Oxalide
Le Cloud Computing ?
Le Cloud Computing ?
Avignon Delta Numérique
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
FactoVia
Similar a 2011 03-09-cloud sgi
(20)
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Securité et gouvernance da
Securité et gouvernance da
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
2010 03-11-sdlc-v02
2010 03-11-sdlc-v02
Osmosys Light Sept09
Osmosys Light Sept09
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
Présentation au CRI-Ouest
Présentation au CRI-Ouest
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Offre de service
Offre de service
Clusif cloud-2010-securite
Clusif cloud-2010-securite
Le Cloud Computing ?
Le Cloud Computing ?
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
Más de Sébastien GIORIA
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
SonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
OWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
2013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
Secure Coding for Java
Secure Coding for Java
Sébastien GIORIA
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
Sébastien GIORIA
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
2012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
2011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
Top10 risk in app sec
Top10 risk in app sec
Sébastien GIORIA
Más de Sébastien GIORIA
(20)
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
SonarQube et la Sécurité
SonarQube et la Sécurité
2014 09-04-pj
2014 09-04-pj
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP, the life and the universe
OWASP, the life and the universe
2013 04-04-html5-security-v2
2013 04-04-html5-security-v2
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Secure Coding for Java
Secure Coding for Java
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
2012 03-01-ror security v01
2012 03-01-ror security v01
2011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Top10 risk in app sec
Top10 risk in app sec
2011 03-09-cloud sgi
1.
Le bon, la
brute et le truand dans les nuages (ou comment percevoir la sécurité dans le Cloud) CONFOO – Montréal Québec - Canada 9 Mars 2011 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation © 2011 - S.Gioria http://www.owasp.org
2.
Consultant Sécurité Sénior
au Twitter :@SPoint sein du cabinet d’audit OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q Expérience en Sécurité des Systèmes d’Information > 0x0D années q Différents postes de manager SSI dans la banque, l’assurance et les télécoms q Expertise Technique ü Gestion du risque, Architectures fonctionnelles, Audits ü S-SDLC : Secure-Software Development LifeCycle. ü PenTesting, Digital Forensics ü Consulting et Formation en Réseaux et Sécurité q Domaines de prédilection : ü Web, WebServices, Insécurité du Web. © 2011 - S.Gioria
3.
Agenda Introduction Révolution ou mirage
? Différents modèles, différents risques Différents modèles, différentes solutions Un peu de littérature Et après ? © 2011 - S.Gioria
4.
Les hackers sont
astucieux © 2011 - S.Gioria
5.
Vainqueurs a la
CVE 2010 Produit 1er 2ème 3ème Système Linux Kernel Windows Server Apple IOS (35) d’exploitation (129) 2008 (93) SGBD Oracle (36) Mysql (3) MS-SQL Server (1) Navigateur Chrome (164) Safari (130) Firefox (115) Clouds ? / VmWare Xen (24) Hyper-V(2) – Virtualisation (125) Azure (1) • Il n’y a pas un meilleur editeur/constructeur…. • Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. • Sinon les bulletins du CERT seraient vides… • Et surtout Oracle ne mentirait pas sur son surnom*… • Le Cloud est compliqué….. *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… © 2011 - S.Gioria
6.
Soyons donc précis
! © 2011 - S.Gioria
7.
Révolution ?
© 2011 - S.Gioria
8.
http://www.cloudsecurityalliance.org/guidance.html Mirage
? Type Infrastructure as a Service (IaaS) Platform as a Service (PaaS). Software as a Service (SaaS). Beer as a Service (BaaS) * ? * Guinness for me please…. © 2011 - S.Gioria
9.
Modèles Cloud Privé :
Dédié à une entreprise Cloud partagé Mutualisé pour une communauté Cloud Public Grand public, Cloud Hybride Composé d’un ou plusieurs cloud précédent. © 2011 - S.Gioria
10.
Les acteurs ?
Les mastodontes* : Google § 27/02/2011 : Google Mail perd des mails….. Amazon § 09/2009: L’isolation dans le Cloud EC2 d’Amazon a des fuites…. § 01/2011: Using Amazon Cloud to crack WPA keys (**) Microsoft Azure : § … *Et non pas les éléPHPants ** http://www.reuters.com/article/2011/01/07/us-amazon-hacking- idUSTRE70641M20110107 © 2011 - S.Gioria
11.
© 2011 -
S.Gioria
12.
L’entreprise a le
contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 © 2011 - S.Gioria
13.
Perte de la
maitrise…. Sur le matériel…. Constemment externalisé Sur le logiciel Quelle confiance ai-je sur le modèle déployé par le fournisseur ? Quelle confiance ai-je dans le développement ? Sur le réseau…. Quelle est la réelle connectivité ? Sur l’organisation Les choix matériels et/ou logiciels peuvent impacter les mesures de sécurité. © 2011 - S.Gioria
14.
Risque sur les
données Perte du contrôle sur les données L’administrateur a les « clefs » d’accès Comment sont effacées les données en cas de fin du contrat ? Comment sont « sauvegardées »/ « archivées » les données ? © 2011 - S.Gioria
15.
Risques techniques sur
la virtualisation Problèmes d’isolation des Machines virtuelles : Les pilules et autres médicaements de Johanna : § http://invisiblethings.org/papers/Security%20Challanges %20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf Partage des ressources : Disques RAM Processeur Réseau © 2011 - S.Gioria
16.
Gestion des données
sensibles Les interfaces d’administration contiennent des données sensibles…. Les mots de passes sont souvent les même en interns et en externe…. Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles Les APIs du Cloud ne sont peut être pas « sécurisées » Absence de clefs de chiffrement Absence de token de transaction….. © 2011 - S.Gioria
17.
Et la réversibilité
? Problèmes de disponibilité Forte dépendance Pas de normes d’interopérabilité sur les Clouds …. © 2011 - S.Gioria
18.
© 2011 -
S.Gioria
19.
Les 13 domaines
de travaux du Cloud La Cloud Security Alliance définit 13 domaines : I. Architecture 1. Cadre d’architecture du cloud Computing II. Gouvernance 2. Gouvernance et gestion des risques 3. Aspects juridiques liées aux données 4. Conformité et audit 5. Cycle de vie de l’information 6. Portabilité et interopérabilité http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
20.
Les 13 domaines
de travaux du Cloud III. Opérations 7. Sécurité, continuité, reprise d’activité 8. Opérations du datacenter 9. Gestion des incidents, notifications, remédiation 10. Sécurité applicative 11. Chiffrement et gestion des clés 12. Gestion des identités et accès 13. Virtualisation http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
21.
PRÉCAUTIONS POUR LE DÉVELOPPEMENT Ou
comment sécuriser le SaaS…. © 2011 - S.Gioria
22.
Le problème Confidentialité
Protéger les données, les systèmes, les processus d’un accès non autorisé Intégrité Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. Disponibilité Assurer que les données, systèmes et processus sont accessible au moment voulu © 2011 - S.Gioria
23.
Le problème Traçabilité
Assurer le cheminement de toute donnée, processus et la reconstruction des transactions « Privacy » Assurer que les données personnelles sont sous le contrôle de leur propriétaire Conformité Adhérer aux lois et réglementations Image de marque Ne pas se retrouver à la une du journal « Le Monde » suite à un incident © 2011 - S.Gioria
24.
La menace Les gouvernements
? Le concurrent La mafia Capacité Le chômeur… de L’étudiant protection Le « script kiddies » Mon fils de 3 ans Mais…… Personne ne nous piratera » « © 2011 - S.Gioria
25.
Défense en profondeur
© 2011 - S.Gioria
26.
Pourquoi est-ce un
problème global ? © 2011 - S.Gioria
27.
Le Mercenaire des
menaces(*) 10/03/2011 – 9h45 © 2011 - S.Gioria * Un burger et vous l’achetez….
28.
Chuck Norris OWASP
ASVS à la rescousse Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! © 2011 - S.Gioria
29.
Principes de développement
KISS : Keep it Short and Simple 8 étapes clés : Validation des entrées Validation des sorties Gestion des erreurs Authentification ET Autorisation Gestion des Sessions Sécurisation des communications Sécurisation du stockage Accès Sécurisé aux ressources © 2011 - S.Gioria
30.
KISS : Keep
it Short and Simple Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des parades aux attaques Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. © 2011 - S.Gioria
31.
Parfois il faut
faire sa pub ;) 10/03/2011 – 13h30 © 2011 - S.Gioria
32.
Cet homme peut
vous aider(*) 10/02/2011 : 14h45 * : je suis d’accord on dirait pas J sur cette photo © 2011 - S.Gioria
33.
Mettre en place
les Tests Qualité Ne pas parler de tests sécurité ! Définir des fiches tests simples, basées sur le Top10/TopX : Tests d’attaques clients/image de marque (XSS) Tests d’intégrité (SQL Injection, …) Tests de conformité (SQL/LDAP/XML Injection) Tests de configuration (SSL, interfaces d’administration) Ajouter des revues de code basées sur des checklists SANS/Top25 OWASP ASVS …. © 2011 - S.Gioria
34.
De la littérature
© 2011 - S.Gioria
35.
De la littérature ENISA
: Benefits, risks and recommendations for information security (11/2009) NIST : SP800-144 : Guidelines on Security and Privacy in Public Cloud Computing (01/2011) Cloud Security Alliance : Top Threats to Cloud Computing V1.0 (03/2010) Security Guidance for Critical Areas of Focus In Cloud Computing V2.1 (12/2009) © 2011 - S.Gioria
36.
Conclusion ?
© Flickr – Mathieu aubry © 2011 - S.Gioria
37.
Remerciements Pascal Saulière (@psauliere) AF
(@starbuck3000) Les deux Arthur(s) © 2011 - S.Gioria
Descargar ahora