cloud security assessment matrix: une offre microsoft consulting pour l’analyse des risques du...
DESCRIPTION
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance. Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)TRANSCRIPT
Sécurité
CSAM: une offre Microsoft Consulting pour l'analyse des
risques du CloudYann DUCHENNE
Mohammed BAKKALIMicrosoft France
[email protected]@microsoft.com
#mstechdaysSécurité
Adopter ensemble un langage commun sur la sécurité du Cloud
Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre organisation
Proposer une démarche d’analyse de risques pragmatique et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
Objectifs
Sécurité#mstechdays
AGENDA
La nécessité d’évaluer les risques
Les normes et la démarche
Le Cloud et les nouveaux enjeux autour de la sécurité
CSAM, une offre d’accompagnement MCS
Sécurité#mstechdays
LE CLOUD ET LES NOUVEAUX ENJEUX AUTOUR DE LA SÉCURITÉ
#mstechdaysSécurité
Les différentes formes de Cloud Computing
3 modèles de service– Infrastructure as a Service
(IaaS)– Aller dans le Cloud – Platform as a Service
(PaaS)– Construire le Cloud– Software as a Service
(SaaS)– Consommer le
Cloud
A construire SaaS
PaaS
IaaS
A construire
Sécurité#mstechdays
Projet Cloud: interrogations majeures?
A Alignement de ma stratégie avec celle de mon prestataire
B Définition du besoin, du service et du prix
C Intégration du Cloud dans le SI de mon entreprise
D Protection et sécurité des données dans le Cloud
E Licences et droits de propriété intellectuelle
F Entrée et sortie du Cloud: Migration - Réversibilité
#mstechdaysSécurité
Préoccupations majeures à l’adoption du Cloud
48%42%
34%
29%
26%
24%
% de réponses (3 choix permis...
Sécurité des services
Craintes concernant l’accès aux données, leur localisation et la vie
privée
Coûts variables et non prédictibles
Niveaux de service non adéquats (disponibilité, performances, fiabilité)
Augmentation du risque vis-à-vis de l’activité (commerciale)
Perception de perte de contrôle de l’IT et des choix technologiques
Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
#mstechdaysSécurité
Résulte de la combinaison de:• Processus
– Gestion des risques, des mises à jour, des configurations, etc
• Personnes– Employés, sous-traitant, admins, développeurs,
utilisateurs
• Technologie– Pas seulement des technologies de sécurité
La sécurité dans le Cloud
#mstechdaysSécurité
Ou se situe le périmètre de responsabilité?
Sécurité physique
Serveurs
Réseaux
Application
Identité / gestion des accès
Protection des terminaux
Sécurité physique
Serveurs
Réseaux
Application
Identité / gestion des accès
Protection des terminaux
Sécurité physique
Serveurs
Réseaux
Application
Identité / gestion des accès
Protection des terminaux
Nive
au d
e co
nfian
ce d
ans l
e fo
urni
sseu
r Clo
ud
Délégation, perte contrôle
IaaS PaaS SaaS
Géré par le fournisseur Cloud
Géré par le client
Classification des données
Classification des données
Classification des données
#mstechdaysSécurité
• Les risques que le client doit gérer:– Classification des données– Protection des terminaux
• Les risques partagés– Gestion des identités et contrôle des accès
• Les risques que le CSP peut vous aider à atténuer– Physiques– Liés aux réseaux
Le Cloud Service Provider est votre partenaire
#mstechdaysSécurité
1. PlanIdentify data
assetsIdentity data
custodian
2. DoDeploy
classification program
3. CheckReview
classification report/log
4. ActReclassify data
Pourquoi classifier les données?Permet aux organisations de catégoriser les données stockées par sensibilité et
impact
Aide à optimiser la gestion des données pour l’adoption du Cloud
La classification est utilisée depuis des décennies dans certaines organisations
(Microsoft, Gouvernements, Défense, etc)
#mstechdaysSécurité
Une classification efficace nécessite une très bonne compréhension des
besoins de l’organisation
Une donnée classifiée comme confidentielle doit rester
confidentielle au cours de son stockage, de son traitement et de son
transfert
Des solutions pour les données sensibles
Sensibilité TerminologieModel 1
TerminologieModel 2
Forte Confidentiel Restreintes
Moyenne A usage interne uniquement
Sensible
Faible Publiques Non-restreintes
#mstechdaysSécurité
• Un document de référence poublié par TWChttp://download.microsoft.com/download/0/9/2/092C54E6-1F36-4698-911B-4AE1D0347897/CISO-Perspectives-Data-Classification.pdf
• Une session des techdays dédiée au sujet« Classifier vos données pour envisager sereinement le Cloud et le BYOD ! »http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=1d1241c2-fa0c-412a-82d9-1443597ec6b8#TQV3aF0rZkRYPHRo.99
L’importance de classifier les données
#mstechdaysSécurité
Cloud computing : les 7 étapes clés pour garantir la confidentialité des donnéesDocument publié le 1er juillet 2013
Recommandation n°1:
Identifier clairement les données et les traitements qui passeront dans le Cloud
Recommandation n°2:
Définir ses propres exigences de sécurité technique et juridique Recommandation n°3:
Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
Et 4 autres recommandations
Recommandations de la CNIL
Sécurité#mstechdays
LES ORGANISATIONS ET NORMES TRAITANT DE LA SÉCURITÉ DU CLOUD
#mstechdaysSécurité
2 organisations de référence• CSA
– organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud
– https://cloudsecurityalliance.org/
• ENISA– centre d’excellence pour les membres de l’union
Européenne et les institutions européennes sur la sécurité réseau et de l’information
– http://www.enisa.europa.eu/
#mstechdaysSécurité
2 documents de références
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
1
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
2
#mstechdaysSécurité
• Internationales– ISO/IEC 27005 et 31000– U.S. National Institute of Standards and Technology (NIST)– Information Systems Audit and Control Association (ISACA)– Information Security Forum (ISF)– Operationally Critical Threat, Asset, and Vulnerability Evaluation
(OCTAVE)
• Et françaises– Ebios– Mehari– Marion (CLUSIF)
De nombreuses normes
#mstechdaysSécurité
• La norme ISO 27005:2008 décrit le processus de gestion des risques en sécurité de l’information
• Précise et explicite le contenu de l’ISO 27001
• Décrit un processus itératif qui autorise une démarche en 2 phases:– Première appréciation du risque de haut niveau– Appréciation détaillée du risque dans un second temps
ISO 27005
#mstechdaysSécurité
Amélioration continue de la maitrise des risques
•Contrôle et révision continue des risques
•Amélioration continue du processus
•Mise en œuvre du plan d’action
•Définition des objectifs•Appréciation du risque•Construction du plan d’actions
•Prise de décisions
Plan Do
CheckAct
#mstechdaysSécurité
• « la combinaison de la probabilité d’un dommage et de sa gravité »
(ISO/CEI 51 1999)• « possibilité qu’une menace donnée
exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation »
(ISO 27005:2008 (F) 3.2)
Qu’est-ce qu’un risque?
#mstechdaysSécurité
Qu’est-ce qu’un risques pour le Cloud?Exposition, impact et probabilité d’occurrence
Exposition
Pleine réalisation probable des objectifs opérationnels
Réalisation partielle probable des objectifs
opérationnels
Perte nette probable pour l'entreprise
Aucune réalisation probable des objectifs
opérationnels
Dégâts catastrophiques probables pour l'entreprise
Impact
Probabilité
Faible
Moyen
Elevé
Faible Moyen Elevé
L’exposition est évaluée par son effet sur le métier
Exposition au risque = Probabilité*Impact
Sécurité#mstechdays
UNE PROPOSITION DE DÉMARCHE
#mstechdaysSécurité
• Cloud Controls Matrix (CCM) version 3– Critères de choix du fournisseur de Cloud– https://cloudsecurityalliance.org/research/ccm/
• Pas uniquement orientée analyse de risque
• Concentrée sur le sujet « Sécurité du Cloud »
• Plus global– Versus NIST (US) et ENISA (Europe)
Démarche fondée sur le travail de la CSA
#mstechdaysSécurité
Operations
Business
Technical
Governance
Reputation & Brand
Interoperability and Portability
Organizational Readiness
Governance & Enterprise Risk ManagementLegal Issues : Contracts and Electronic Discovery
Information Management & Data Security
Encryption and Key Management
Data Center Operations
Application Security
Business Continuity & Disaster Recovery
Possibility of negative perception by customers or partners of company brand or reputation
Exposure over the lifetime of an application from design to operations to decommissioning
Strategic alignment, cultural and workforce readiness, championship, and stakeholder buy-in
Risk of failing to comply with government-mandated and industry-specific regulations and standards
Risks related to data ownership, portability, and system integration
Whether the cloud fits the enterprise, satisfies solution requirements, or introduces external dependencies
Whether the organizational identification and authentication framework extends to the cloud
Exposure to business processes changes, system integrations, and dependent initiatives
Exposure of sensitive and regulated data and the control and security of data
Exposure to outages and ability to ensure the full set of resources is accessible and usable
DOMAINS DEFINITION
Compliance and Audit Management Risks related to data ownership, portability, and system integration
Identity and Access ManagementWhether the organizational identification and authentication framework extends to the cloud
VirtualizationWhether the organizational identification and authentication framework extends to the cloud
Security as a ServiceWhether the organizational identification and authentication framework extends to the cloud
Incident ResponseExposure to outages and ability to ensure the full set of resources is accessible and usable
#mstechdaysSécurité
• Evaluation de la tolérance au risque de l’entreprise– Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security
Alliance (CSA)
• Evaluation des risques pour la solution Cloud– Evaluation focalisée sur la solution Cloud cible sur les 15 domaines de la
Cloud Security Alliance (CSA)
• Comparaison des risques de la solution vs tolérance– Mise en évidence des risques acceptables et des risques à atténuer par
comparaison entre la tolérance et l’exposition au risque de la solution
• Définition de stratégies d’atténuation– Elaboration des contre-mesures sur les risques à atténuer
• Evaluation des risques résiduels– Evaluation des risques résiduels après atténuation
Principes de la démarche
#mstechdaysSécurité
• Compléter un tableau « Enterprise Tolerance Analysis »
Etape 1: évaluer la tolérance
#mstechdaysSécurité
• Compléter les questionnaires des domaines 1 à 15
Etape 2: Evaluation des risques pour la solution considérée
Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very Low »
Compléter le questionnaire du domaine 1 Au domaine 15
#mstechdaysSécurité
• Mettre en évidence les risques a traiter
Etape 3:Comparer Exposition vs. Tolérance
#mstechdaysSécurité
• Mettre en évidence les risques à traiter
Etape 3: Comparer Exposition et Tolérance
Tolérance au risque
Exposition au risque
#mstechdaysSécurité
• Identifier les éléments « fautifs »
Etape 4: Définition des stratégies d’atténuation des risques
Chaque domaine « Remediate » doit être examiné pour identifier le ou les éléments « fautifs » et définir une stratégie d’atténuation appropriée
#mstechdaysSécurité
• Adopter une stratégie de traitement du risque
Etape 4 de la démarcheDéfinition des stratégies d’atténuation des risques
Transfert du risque
Transfert du risque vers le fournisseur
Contrat de niveau de service (Service Level Agreement), pénalités
Assurance
Réduction du risque
Détermination de contre-mesures par exemple : choix du fournisseur, ajout de contrôles, modification d’architecture, organisation, hébergement multifournisseurs (disponibilité)
Evitement du risque
Choix de ne pas déployer le service dans le Cloud pour le scénario envisagé
Choix d’un modèle de déploiement (ex Cloud privé/hybride)
Acceptation du risque
Décision de tolérer le risque pour l’hébergement de la solution considérée dans le Cloud
4 stratégies possiblesRéduction du risqueEvitement du risqueTransfert du risqueAcceptation du risque
#mstechdaysSécurité
• Identifier les risques résiduels
Etape 5: Evaluation des risques résiduels après atténuation
Certains risques pourront être acceptés
Sécurité#mstechdays
CSAM, UNE PROPOSITION D’ACCOMPAGNEMENT MCS
#mstechdaysSécurité
Offre de Services CSAMLe périmètre éligible est l’un des services de Cloud
Microsoft (Office 365, Azure, CRM online, Yammer, .etc.)
L’offre de service CSAM s’appuie sur un questionnaire couvrant 15 domaines. La prestation est conçue sur la base
d’une charge de 5 jours.
Les livrables comprennent le support de restitution ainsi qu’un document de synthèse décrivant le niveau
d’exposition aux risques.
5 JH
CloudMicrosoft
#mstechdaysSécurité
• Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces
• Des organismes reconnus (NIST, CSA, ENISA, etc.) ont déjà beaucoup travaillé sur le sujet Cloud et Sécurité
– Capitalisez sur leurs ressources ainsi mises à disposition !
• Des approches d’analyse de risque spécifiques au Cloud comme celle proposée ici peuvent vous aider à adopter plus sereinement le Cloud !
• Microsoft Consulting peut vous accompagner dans cette démarche au travers de l’offre CSAM (Cloud Security Assessment Matrix)
En guise de synthèse
#mstechdaysSécurité
Microsoft Trust Centers
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
#mstechdaysSécurité
Mohammed Bakkali [email protected]
Yann Duchenne [email protected]
Vos interlocuteurs MCS sur l’offre CSAM