SlideShare una empresa de Scribd logo

La sécurité et le Cloud Computing

Tactika inc.
Tactika inc.

Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible. Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information. La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique. La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.

Tecnología
1 de 30
Descargar para leer sin conexión
La sécurité dans le Cloud v.8 Octobre 2011 Présenté au CQSI 2011 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika
Contenu de la conférence 1. Concept du Cloud Computing 2. Risques : menaces, vulnérabilités, mesures de contrôle, impacts 3. Intégrer le Cloud Computing dans votre gestion de la sécurité La mention des produits, des services ou des compagnies dans ce document ne doit pas être interprétée comme étant une recommandation ou une promotion. La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 2
Qui suis-je ?  Spécialiste en sécurité de l’information  Tactika inc.  Architecture de sécurité, audit et conseil normes ISO2700X, Gestion des risques  Clientèle : Gouvernemental et paragouvernemental, grande entreprise et PME  Une trentaine d’années d’expérience  Télécommunication, réseaux locaux et étendues, Conception et prestation de cours, Administration de système Unix, Webmestre, Architecture technologique  Certifications : CISSP, CISA et autres lettres de l’alphabet  Intérêt et utilisation du Cloud depuis 2008 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 3
Le Cloud est-il incontournable ? Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . Les TI seront profondément transformées dans les années à venir … à vrai dire c’est déjà commencé ! La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 4
Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multi-locataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commodité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 5
Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation Individu La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 6
Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multi-locataire Même entente de service /SLA pour tous La sécurité dans le Cloud 7 Clément Gagnon Tactika inc.
Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 8
Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement , délestage rapide  Élasticité, extensibilité ► Gestion simplifiée de la capacité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 9
Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X, Ex. CRM (software), Espace disque Ex. Sharepoint anti-virus (service) Abstraction Objet du client Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 10
Les acteurs dans le modèle de prestation de services Client / opérateur Client / utilisateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 11
Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com Opérateur La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 12
Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communauté La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 13
Un cas … Software (Application) Vous.com DNS Plate-forme Vous.com Infrastructure clement.gagnon@tactika.com Vous.com Web SaaS BD & SAN Surveillance De la disponibilité Votre client Software Ex. Amazon Web Services Ex. easyDNS (Application) Plate-forme Software Ex. iWeb Service (Application) Software Analyse Infrastructure Software de paiement (Application) (Application) d’affluence Plate-forme SaaS Vous.com Plate-forme Plate-forme Courriel Infrastructure Infrastructure SMTP/POP Infrastructure SaaS SaaS SaaS clement.gagnon@tactika.com Ex. Uptrends Ex. Google Analytics Ex. NvoicePay Ex. Gmail Vous La sécurité et le Cloud Computing - 14 Clément Gagnon - Tactika inc.
Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 15
Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Client SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel Fournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 16
Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 17
Principales mesures de contrôle pour la sécurité de l’infrastructure Anti-virus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, anti-virus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Anti-virus, anti-logiciel espion, correctifs La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 18
Autres mesures de contrôle Définition dans l’entente de service/SLA des éléments de sécurité  Acceptation implicite des risques ! Sensibilisation et formation des utilisateurs Audit (vous et le fournisseur/tiers) Test d’intrusion (limité par le SLA et le modèle de prestation) Relève, redondance (vous versus le tiers) Surveillance (monitoring) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 19
Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité de l’organisation  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants  Infrastructure du tiers  Des composants et de la gestion de ces composants  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Difficulté d’enquête (forensique) en cas d’incident  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Pérennité du tiers  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 20
Impacts – Quelques cas réels  Disponibilité  Avril 2011 Panne majeure chez Amazon  Août 2011 Panne mineure Amazon  Plusieurs sites importants tel que Foursquare, Reddit, etc subissent des pertes de disponibilité de plusieurs heures. http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Confidentialité  Mars 2011 Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit).  Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Intégrité  Février 2010 52 sites web du congrès étasunien ont subi une défiguration.  Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 21
La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés». La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 22
«Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 23
Facteurs de risque  Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque :  Le domaine d’affaires  La GRC (gouvernance, risque, conformité)  La prestation de services TI  Vos données  Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière boutique (intégration élevée, impact important) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 24
Comment maitriser le risque Alignement sur les bonnes pratiques  ISO27001/2 - Code de pratique et processus d’un SMSI  ISO27005 - Gestion du risque  ITIL v3 - Gestion des TI ITIL : Information Technology Infrastructure Library pour « Bibliothèque pour l'infrastructure des technologies de l'information ») SMSI : Système de Management de la Sécurité de l’Information selon ISO27002 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 25
SMSI et les tiers  Le fournisseur doit être considéré comme un tiers.  Son SMSI doit communiquer avec votre SMSI.  Clauses ISO27002 spécifiques aux tiers  6.2. Tiers  Identification des risques provenant des tiers  La sécurité et les clients  La sécurité dans les accords conclus avec des tiers  10.2. Gestion de la prestation de services par un tiers  Prestation de services  Surveillance et réexamen des services tiers  Gestion des modifications dans les services tiers La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 26
Vue* processus du SMSI Gestion des identités et des Gestion des risques habilitations Gestion des accès SMSI Gestion des configurations Gestion des mises Gestion des en production vulnérabilités Détection des intrusions Audit Gestion des incidents Gestion des tiers * partielle, sécurité et ITIL La sécurité et le Cloud Computing - 27 Clément Gagnon - Tactika inc.
Lien entre les SMSI La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 28
Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenter La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 29
Questions ? Merci de votre attention ! clement.gagnon@tactika.com www.tactika.com @tactika La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. 30

Recomendados

Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdfAnisSalhi3
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computingArafet BOUSSAID
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 

Recomendados

Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdfAnisSalhi3
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computingArafet BOUSSAID
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingNicolas Hennion
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Cloud computing
Cloud computingCloud computing
Cloud computingBilel BARHOUMI
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWANMed Amine El Abed
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Cloud computing
Cloud computingCloud computing
Cloud computingAbdelghani ACHIBANE
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing leilameherzi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ? Avignon Delta Numérique
 

Más contenido relacionado

La actualidad más candente

Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingNicolas Hennion
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 

La actualidad más candente (20)

Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud Computing
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 

Similar a La sécurité et le Cloud Computing

Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne AlecianClub Alliances
 
Le Cloud à la française (USI 2012)
Le Cloud à la française (USI 2012)Le Cloud à la française (USI 2012)
Le Cloud à la française (USI 2012)Guillaume Plouin
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudOCTO Technology
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confianceIkoula
 
Documation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessDocumation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessJérémy Prioux
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Malika Lardjane
 
SaaS et Cloud, une révolution ?
SaaS et Cloud, une révolution ?SaaS et Cloud, une révolution ?
SaaS et Cloud, une révolution ?Sage france
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Comment monter son cloud prive / public ?
Comment monter son cloud prive / public ?Comment monter son cloud prive / public ?
Comment monter son cloud prive / public ?ALTER WAY
 
[En route vers le cloud] Solutions cloud et virtualisation - IBM
[En route vers le cloud] Solutions cloud et virtualisation - IBM[En route vers le cloud] Solutions cloud et virtualisation - IBM
[En route vers le cloud] Solutions cloud et virtualisation - IBMGroupe D.FI
 

Similar a La sécurité et le Cloud Computing (20)

Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
 
Le Cloud à la française (USI 2012)
Le Cloud à la française (USI 2012)Le Cloud à la française (USI 2012)
Le Cloud à la française (USI 2012)
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du Cloud
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Documation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessDocumation 2013 - Easy Content Access
Documation 2013 - Easy Content Access
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
 
SaaS et Cloud, une révolution ?
SaaS et Cloud, une révolution ?SaaS et Cloud, une révolution ?
SaaS et Cloud, une révolution ?
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Comment monter son cloud prive / public ?
Comment monter son cloud prive / public ?Comment monter son cloud prive / public ?
Comment monter son cloud prive / public ?
 
[En route vers le cloud] Solutions cloud et virtualisation - IBM
[En route vers le cloud] Solutions cloud et virtualisation - IBM[En route vers le cloud] Solutions cloud et virtualisation - IBM
[En route vers le cloud] Solutions cloud et virtualisation - IBM
 

Más de Tactika inc.

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfTactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsTactika inc.
 

Más de Tactika inc. (8)

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
 

La sécurité et le Cloud Computing

  • 1. La sécurité dans le Cloud v.8 Octobre 2011 Présenté au CQSI 2011 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika
  • 2. Contenu de la conférence 1. Concept du Cloud Computing 2. Risques : menaces, vulnérabilités, mesures de contrôle, impacts 3. Intégrer le Cloud Computing dans votre gestion de la sécurité La mention des produits, des services ou des compagnies dans ce document ne doit pas être interprétée comme étant une recommandation ou une promotion. La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 2
  • 3. Qui suis-je ?  Spécialiste en sécurité de l’information  Tactika inc.  Architecture de sécurité, audit et conseil normes ISO2700X, Gestion des risques  Clientèle : Gouvernemental et paragouvernemental, grande entreprise et PME  Une trentaine d’années d’expérience  Télécommunication, réseaux locaux et étendues, Conception et prestation de cours, Administration de système Unix, Webmestre, Architecture technologique  Certifications : CISSP, CISA et autres lettres de l’alphabet  Intérêt et utilisation du Cloud depuis 2008 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 3
  • 4. Le Cloud est-il incontournable ? Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . Les TI seront profondément transformées dans les années à venir … à vrai dire c’est déjà commencé ! La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 4
  • 5. Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multi-locataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commodité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 5
  • 6. Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation Individu La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 6
  • 7. Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multi-locataire Même entente de service /SLA pour tous La sécurité dans le Cloud 7 Clément Gagnon Tactika inc.
  • 8. Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 8
  • 9. Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement , délestage rapide  Élasticité, extensibilité ► Gestion simplifiée de la capacité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 9
  • 10. Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X, Ex. CRM (software), Espace disque Ex. Sharepoint anti-virus (service) Abstraction Objet du client Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 10
  • 11. Les acteurs dans le modèle de prestation de services Client / opérateur Client / utilisateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 11
  • 12. Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com Opérateur La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 12
  • 13. Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communauté La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 13
  • 14. Un cas … Software (Application) Vous.com DNS Plate-forme Vous.com Infrastructure clement.gagnon@tactika.com Vous.com Web SaaS BD & SAN Surveillance De la disponibilité Votre client Software Ex. Amazon Web Services Ex. easyDNS (Application) Plate-forme Software Ex. iWeb Service (Application) Software Analyse Infrastructure Software de paiement (Application) (Application) d’affluence Plate-forme SaaS Vous.com Plate-forme Plate-forme Courriel Infrastructure Infrastructure SMTP/POP Infrastructure SaaS SaaS SaaS clement.gagnon@tactika.com Ex. Uptrends Ex. Google Analytics Ex. NvoicePay Ex. Gmail Vous La sécurité et le Cloud Computing - 14 Clément Gagnon - Tactika inc.
  • 15. Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 15
  • 16. Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Client SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel Fournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 16
  • 17. Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 17
  • 18. Principales mesures de contrôle pour la sécurité de l’infrastructure Anti-virus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, anti-virus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Anti-virus, anti-logiciel espion, correctifs La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 18
  • 19. Autres mesures de contrôle Définition dans l’entente de service/SLA des éléments de sécurité  Acceptation implicite des risques ! Sensibilisation et formation des utilisateurs Audit (vous et le fournisseur/tiers) Test d’intrusion (limité par le SLA et le modèle de prestation) Relève, redondance (vous versus le tiers) Surveillance (monitoring) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 19
  • 20. Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité de l’organisation  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants  Infrastructure du tiers  Des composants et de la gestion de ces composants  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Difficulté d’enquête (forensique) en cas d’incident  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Pérennité du tiers  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 20
  • 21. Impacts – Quelques cas réels  Disponibilité  Avril 2011 Panne majeure chez Amazon  Août 2011 Panne mineure Amazon  Plusieurs sites importants tel que Foursquare, Reddit, etc subissent des pertes de disponibilité de plusieurs heures. http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Confidentialité  Mars 2011 Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit).  Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Intégrité  Février 2010 52 sites web du congrès étasunien ont subi une défiguration.  Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 21
  • 22. La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés». La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 22
  • 23. «Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 23
  • 24. Facteurs de risque  Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque :  Le domaine d’affaires  La GRC (gouvernance, risque, conformité)  La prestation de services TI  Vos données  Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière boutique (intégration élevée, impact important) La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 24
  • 25. Comment maitriser le risque Alignement sur les bonnes pratiques  ISO27001/2 - Code de pratique et processus d’un SMSI  ISO27005 - Gestion du risque  ITIL v3 - Gestion des TI ITIL : Information Technology Infrastructure Library pour « Bibliothèque pour l'infrastructure des technologies de l'information ») SMSI : Système de Management de la Sécurité de l’Information selon ISO27002 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 25
  • 26. SMSI et les tiers  Le fournisseur doit être considéré comme un tiers.  Son SMSI doit communiquer avec votre SMSI.  Clauses ISO27002 spécifiques aux tiers  6.2. Tiers  Identification des risques provenant des tiers  La sécurité et les clients  La sécurité dans les accords conclus avec des tiers  10.2. Gestion de la prestation de services par un tiers  Prestation de services  Surveillance et réexamen des services tiers  Gestion des modifications dans les services tiers La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 26
  • 27. Vue* processus du SMSI Gestion des identités et des Gestion des risques habilitations Gestion des accès SMSI Gestion des configurations Gestion des mises Gestion des en production vulnérabilités Détection des intrusions Audit Gestion des incidents Gestion des tiers * partielle, sécurité et ITIL La sécurité et le Cloud Computing - 27 Clément Gagnon - Tactika inc.
  • 28. Lien entre les SMSI La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 28
  • 29. Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenter La sécurité dans le Cloud - Clément Gagnon - Tactika inc. 29
  • 30. Questions ? Merci de votre attention ! clement.gagnon@tactika.com www.tactika.com @tactika La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. 30