CYBERSECURITE LEADER EUROPÉEN - MANAGEMENT DES VULNÉRABILITÉS - MONITORING SÉCURITÉ - EXPERTISE AS A SERVICE DEPUIS 2007

Transcription

1 QUELLE PLACE POUR UN FRAMEWORK CLOUD SÉCURISÉ? CYBERSECURITE LEADER EUROPÉEN - MANAGEMENT DES VULNÉRABILITÉS - MONITORING SÉCURITÉ - EXPERTISE AS A SERVICE DEPUIS 2007

2 FONDATEURS Jean-Nicolas Piotrowski Fondateur et Président Ancien responsable sécurité de la salle des marchés de la BNP Intervenant expert cloud securité à l Assemblée nationale Twit : jcopiotro 1

3 ITRUST: SECURITY AS A SERVICE DEPUIS 2007 Fondateurs Trophées de l innovation Jean-Nicolas Piotrowski Président directeur général Ingénieur Télécom IUP STRI Toulouse) Ex-RSSI BNP Paribas Front Office Métiers Henri Piotrowski Directeur administratif et financier Ingénieur Supaéro Ancien PDG d EADS-ATR Siège social et R&D à Toulouse agences à Paris, Bordeaux, Berlin, Genève, Melbourne 1 e prix des DSI aux IT-Days de Lyon 2 e prix aux Trophées de l Innovation aux Assises de la Sécurité label TIC 2009, catégorie E-entreprise label Jeune Entreprise Innovante (JEI) soutien spécifique de Oséo et Midi-Pyrénées Innovation. Une expertise reconnue Editeur de la solution d audits de vulnérabilité Ikare tests de pénétration en mode intrusif enquêtes forensiques après incident sécurisation informatique confidentiel défense sécurisation des entreprises étendues (Cloud) plans de continuité de service et plans de secours certification ARJEL (Autorité de Régulation des Jeux en Ligne) maîtrise technique (cryptographie, PKI, IAM, ) normes, certifications et méthodes : Bâle III, ITIL, Mehari, EBios, 2700x. membre fondateur de la FPTI (Federation des professionnels des tests d intrusion) Ingénieurs CISSP et Lead Auditors

4 HISTORIQUE 43

5 CLOUD : NOUVELLES PROBLÉMATIQUES DE SECURITE 1. Perte de contrôle du système d information 2. Augmentation des risques liés à la centralisation des données. 3. Dans un contexte juridique et de conformité risqué : CNIL, Patriot Act, EPrivacy, BaleIII, PCI/DSS, HIPAA L enjeu dans le cloud : Maitriser ses données externalisées : - Contrôler les SLA et la sécurité - Assurer la confidentialité ET l intégrité de ses données (et ses clients) Paradoxalement, Le Cloud offre la possibilité d augmenter le niveau de sécurité! 54

6 IL Y A UN AVANT ET APRES PRISM 5 6

7 MENACES SUR LE CLOUD Des risques sur : Les applications Les données Les services Providers pérenne? Fiables? Quid de la sécurité? Gestion des pannes? Gestion des incidents? Sauvegarde? Qui est responsable? Où sont mes données? Dans le Cloud! Données soumises aux lois du Pays hébergeur! Exploitation des données marketing? Espionnage industriel? Protection des données privées? Ne pas négliger le SLA! (clauses et contrats / monitoring) Demander un contrôle de sécurité à votre prestataire! un Label? 6

8 LES 7 FAILLES DE SÉCURITÉ TECHNIQUES PROPRES AU NUAGE (CSA) Cloud Security Risks / Threats Shared Technology Vulnerabilities Data Loss/Data Leakage Malicious Insiders Account Service or Hijacking of Traffic Insecure APIs Nefarious Use of Service Unknown Risk Profile 78

9 LES 8 POINTS DE VIGILANCE PROPRES AU CLOUD Engagement de sécurité écrit du prestataire quels outils, surveillance, mutualisation, Chiffrement des données Centralisation et risque systémique Espionnage interne Confidentialité : A quelles règlementations est soumis le prestataire (ex : Patriot Act, Juridiction européenne, localisation des données ) Quelles clauses dans le contrat : qui intervient sur les machines tracer les interventions sorties de données hors de l UE contrôle sur les exploitant t personnes physiques clause de confidentialité SLA, exclusions, pénalités GDI, GDM permettre les audits réversibilité? suppression sécurisée des données... Quel audit et contrôle régulier Réversibilité et Interopérabilité 8 9

10 ETAT DE L ART DE LA PROBLEMATIQUE SSI CLOUD Normes, règlementations et méthodes en cours : ISO, normes en cours d implémentation, initié par la Chine (!) ANSSI AFDEL «choisir son prestataire cloud» CSA (cloud sec. Alliance) Label ITrust security Metrics Outils et projets actuels : Numergy et Cloudwatt SVC Secure Virtual Cloud 1 9 0

11 Niveau de sécurité global Cloud fournissant un tdb de sécurité Cloud souverain Cloud provider labellisé Cloud français Respect de normes et méthodes (PCI, HDS, ) Cloud udité régulièrement Cloud disposant d un Contrat d engagements Hébergeur lambda 10

12 QU EST CE QUE SVC? Qu est ce que SVC? Projet R&D AAP cloud v2 investissement d avenir, consortium 10 Entreprises et 2 laboratoires, porté par Itrust Un Cloud virtuel sécurisé Framework de cloud sécurisé, interoperable (autres termes : cannevas, un atelier de génie logiciel) Ensemble d outils intégrés et industrialisés, interropérables Permet à l entreprise d implémenter rapidement et gérer son propre cloud À destination des cloud provider, des ETI et grands comptes, des éditeurs Solution européenne et des acteurs de proximité Une solution européenne et souveraine, Sans subir la règlementation extérieure Concurrente à des offres leaders (type Cisco, HP, Microsoft) Integrant deux ruptures technologiques majeures : Analyse comportementale Présentation Fragmantation à la DGCIS de données 11

13 FONCTIONNALITES DE SECURITY CONSOLE MANAGEMENT - Analyse des vulnérabilites temps-reel et Pre-prod (Op. janv 2014) - Classification niveau des VM - Option DLP, Option IAM - Analyse des logs et correlation : attaques, anomalies, conformité aux normes - Analyse de QoS: vérification de SLA - Traçabilité et survillance administrateurs et superviseurs - Cloisonnement et filtrage intervm - Relation DLP/IAM - Analyse comportementale - IDS cloud - Tdb conformité et évaluation conformité - Mise en conformité critères de sécurité cloud de ISO et ANSSI - Archivage (à définir) légal - Sécurisation Hyperviseur et AntiRootkit - Amélioration Moteur de vulnérabilités - Fragmentation des données, Système de fichier partagé crypté (non observable) 12

14 CONTACT ITrust - Siège Social 55 Avenue l Occitane, BP Labège Cedex +33 (0) contact@itrust.fr