cloud & sécurité : une approche pragmatique pour les rssi
DESCRIPTION
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.TRANSCRIPT
![Page 1: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/1.jpg)
palais des
congrès
Paris
7, 8 et 9
février 2012
![Page 2: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/2.jpg)
Cloud & Sécuritéune approche pragmatique pour les
RSSI
Jean-Yves Grasset, CISSP, CCSK
Stanislas Quastana, CISSP, CCSK
Architectes - Microsoft France
![Page 3: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/3.jpg)
Adopter ensemble un langage commun sur le Cloud
Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information
Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
Objectifs de cette session
![Page 4: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/4.jpg)
Qu’est-ce que le Cloud Computing ?
L’ensemble des disciplines, technologies et
modèles commerciaux utilisés pour délivrer des
capacités informatiques (logiciel, plateformes,
matériel) comme un service à la demande
?
![Page 5: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/5.jpg)
3 modèles de
service5 caractéristiques
4 modèles de
déploiement
Source de la définition : NIST – National Institute Standard and Technology
![Page 6: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/6.jpg)
Self service
Accès universel via le réseau
Elasticité
Service mesurable
Mise en commun de ressources
5 caractéristiques
![Page 7: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/7.jpg)
Infrastructure
as a Service (IaaS)
Platform as a
Service (PaaS)
Software
as a Service (SaaS)
À construire
À construire
3 modèles de service
![Page 8: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/8.jpg)
4 modèles de déploiement
Privé Public
Hybride
Communautaire
![Page 9: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/9.jpg)
Résumé de la vue du NIST
Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
![Page 10: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/10.jpg)
Quel cloud pour quel usage ? Faire le bon choix
![Page 11: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/11.jpg)
Etape 1 : identifier et classifier vos
applications
Impacts sur l’activité & impacts techniquesCloudification
réalisable dès
aujourd’hui
Cloudification possible Attendre un peu et
réfléchir avant la
vaporisation !
Non critique pour l’entreprise
Pas de contraintes réglementaires
Contenu à faible impact
Non critique pour l’entreprise
Peu de contrainte réglementaires
Contenu à impact moyen
Critique pour l’activité
Contraintes réglementaires
Contenu à fort impact
Non distribuée
Nécessite peu de supervision
Petite base de données
Distribuée (géo / machines)
Nécessite peu de supervision
Base de données moyenne
Distribuée (géo / machines)
Nécessite une supervision avancée
Grosse base de données
![Page 12: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/12.jpg)
Etape 2 : « cloudifier » en priorité les
applications entrant dans un des modèles
suivants “On et Off”
Application dans un Plan de reprise d’activité (PRA)Prototypage de produits
Resou
rc
e u
sag
e
Time
Inactivity
Period
UsageAverage
“Croissance rapide”
Startup ou croissance par acquisitionFusions & acquisitions
Resou
rc
e u
sag
e
Time
Average Usage
“Pic non prédictible”
Système de réponse d’urgenceActivité dépendant des évènements courants (ex: News)
Resou
rc
e u
sag
e
Time
Average Usage
“Pics prédictibles”
Traitement de la paiePériodes de ventes, de vacances…
Resou
rc
e u
sag
e
Time
Average Usage
![Page 13: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/13.jpg)
Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux
Cloud public et mobilité = même combat !
Application mobile = Cloud Computing
Application pour réseaux sociaux = Cloud Computing
Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT
Nouveaux services, nouveaux usages
![Page 14: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/14.jpg)
Cloud Computing : risques &
challenges
![Page 15: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/15.jpg)
Préoccupations majeures à l’adoption
du Cloud
Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
48%
42%
34%
29%
26%
24%
Sécurité des services
Craintes concernant l'accès, localisation aux données, vie privée
Coûts variables et non prédictibles
Niveaux de service non adéquats (disponibilité, performances, fiabilité)
Augmente le risque pour l'activité commerciale
Perception de perte de contrôle de l'IT et des choix technologiques
% de réponses (3 choix permis / personne)
![Page 16: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/16.jpg)
2 organisations spécialisées sur le sujet
https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/
![Page 17: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/17.jpg)
2 documents de références
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
http://www.enisa.europa.eu/act/rm/files/deli
verables/cloud-computing-risk-
assessment/at_download/fullReport
![Page 18: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/18.jpg)
Cloud Controls Matrix
Critères de choix du fournisseur de Cloud
Pas uniquement orienté analyse de risque
Concentré sur le sujet « Sécurité du Cloud »
Plus global
versus NIST (US) et ENISA (Europe)
Pourquoi le choix Cloud Security
Alliance ?
![Page 19: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/19.jpg)
Une proposition de démarche
d’analyse de risques pour le
CloudAvec démos à l’appui ;-)
![Page 20: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/20.jpg)
La démarche
![Page 21: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/21.jpg)
Exposition, impact et probabilité
d’occurrenceExposition
Likely Full Realization of Business Objectives
Likely Partial Realization of Business Objectives
Likely No Realization of Business Objectives
Likely Net Loss to the Business
Likely Catastrophic Damage to the Business
Impact
Probabilité
Low
Medium
High
Low Medium High
L’Exposition est évaluée par son effet
sur le business
Exposition au risque = Probabilité*Impact
![Page 22: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/22.jpg)
Domaines Risques Cloud & ToléranceG
ove
rnan
ceTe
chn
ical
Operations
Bu
sin
ess
Organizational Readiness
Reputation & Brand
Legal Issues : Contracts and Electronic Discovery
Governance & Enterprise Risk Management
Compliance and Audit Management
Application Security
Encryption and Key Management
Information Management & Data Security
Interoperability and Portability
Identity and Access Management
Virtualization
Security as a Service
Incident Response
Data Center Operations
Traditional Security, Business Continuity & Disaster Recovery
Tolerance
Tolerate Only Full Realization of Objectives
Tolerate Partial Realization of Business Objectives
Tolerate No Realization of Business Objectives
Tolerate Net Loss to the Business
Tolerate Catastrophic Damage to the Business
Cloud Risk Control Area Enterprise Risk Tolerance
Clo
ud
Se
curi
ty A
llian
ce D
om
ain
s
![Page 23: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/23.jpg)
Exemple : application mobile
• Traitement et stockage
de données
personnelles
• Respect des
réglementations
(localisation des
données, déclaration
CNIL..)
• Protection des
informations en transit
et au repos
![Page 24: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/24.jpg)
Le questionnaire du boss(mais assisté du RSSI)
Evaluation tolérance au
risque
![Page 25: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/25.jpg)
Evaluation tolérance au risque
![Page 26: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/26.jpg)
Le questionnaire Sécurité(le RSSI et « ses amis »)
Evaluation des risques de la
solution
![Page 27: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/27.jpg)
Evaluer le risque selon les 15 domaines de la CSA
Ciblé pour le service ou l’application à faire héberger sur le Cloud
Concerne le RSSI
il s’agit d’un questionnaire sécurité !
ET le responsable/architecte du service
Qui connait le design de l’application
RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque
Questionnaire Sécurité :
Pourquoi, pour qui ?
![Page 28: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/28.jpg)
Evaluation des risques de la solution
Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very
Low »
![Page 29: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/29.jpg)
Comparaison Exposition vs Tolérance
(1/2)
![Page 30: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/30.jpg)
Comparaison Exposition vs Tolérance
(2/2)
Tolérance au risque
Exposition au risque
![Page 31: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/31.jpg)
Le traitement du risque
![Page 32: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/32.jpg)
Stratégies d’atténuation
Chaque domaine « Remediate » doit être examiné pour identifier le ou
les items « fautifs » et définir une stratégie d’atténuation
![Page 33: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/33.jpg)
Stratégie de traitement du risque
Evitement du risque• Choix de ne pas déployer le
service dans le Cloud
• Choix d’un modèle de déploiement
(ex Cloud privé/hybride)
Transfert du risque• Transfert du risque vers le
fournisseur
• Service Level Agreement, pénalités
• Assurance
Acceptation du risque• L’entreprise décide de tolérer le
risque pour l’hébergement de cette
solution dans le Cloud
Réduction du risque• Détermination de contre-mesures par
exemple :
• Choix du fournisseur, ajout de
contrôles, modification
d’architecture, organisation, héberge
ment multi-fournisseurs
(dsiponibilité)
![Page 34: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/34.jpg)
Risques résiduels
Certains risques pourront être acceptés
![Page 35: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/35.jpg)
Synthèse
Il faut bien terminer….
![Page 36: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/36.jpg)
Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces
Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-)
Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.
Synthèse
![Page 37: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/37.jpg)
ENISA
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-
computing-risk-assessment/at_download/fullReport
Cloud Security Alliance
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.
Microsoft Cloud
http://www.microsoft.com/cloud
Ressources utiles – Quelques lectures
![Page 38: Cloud & Sécurité : une approche pragmatique pour les RSSI](https://reader034.vdocuments.mx/reader034/viewer/2022052412/559512e01a28ab91598b45e8/html5/thumbnails/38.jpg)
Merci de votre attention