Sécurité du cloud computing



Documents pareils
Les clauses sécurité dans un contrat de cloud

Contractualiser la sécurité du cloud computing

Les clauses «sécurité» d'un contrat SaaS

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Maîtriser ses données dans le cloud computing

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

MiniCLOUD

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

Cloud Computing, discours marketing ou solution à vos problèmes?

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

Le Cloud. Généralités & Sécurité. Valentin Lecerf Salon du multimédia et de la photo Proville

Le contrat Cloud : plus simple et plus dangereux

Qu est ce qu une offre de Cloud?

mieux développer votre activité

Qu est ce qu une offre de Cloud?

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Sécurité des applications Retour d'expérience

Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL

Des systèmes d information partagés pour des parcours de santé performants en Ile-de-France.

Virtualisation et Sécurité

CCI YONNE ATELIER ENP 14 NOVEMBRE Je veux mieux gérer mon entreprise grâce au numérique (nomadisme, SaaS, etc.)

En savoir plus pour bâtir le Système d'information de votre Entreprise

Architectures informatiques dans les nuages

Qu est-ce que le «cloud computing»?


The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

CONDITIONS PARTICULIERES

Service Cloud Recherche

Cloud Computing et SaaS

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Entrez dans l ère du Numérique Très Haut Débit

Business & High Technology

Cloud computing ET protection des données

Les modules SI5 et PPE2

Démonstration Google Apps. Christophe Thuillier Avril 2010 Arrowsoft

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

tech days AMBIENT INTELLIGENCE

Veille Technologique. Cloud Computing

Introduction sur les risques avec l'informatique «industrielle»

Le Ro le Hyper V Troisie me Partie Haute disponibilite des machines virtuelles

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Les services d externalisation des données et des services. Bruno PIQUERAS 24/02/2011

Comment formaliser une offre Cloud Computing vendable?

Scholè Marketing publie les résultats du Baromètre du Cloud Computing

Le Ro le Hyper V Premie re Partie Configuration et Prise en main du gestionnaire Hyper-V

Le Cloud Computing 10 janvier 2012

2 disques en Raid 0,5 ou 10 SAS

DREAL proposition DNS et hébergement. magazine le 14 septembre 2011 DREAL comparatif hébergement

5 novembre Cloud, Big Data et sécurité Conseils et solutions

La tête dans les nuages

Faulconnier Bastien SIO2. Cahier des charges. Choix et mise en œuvre d'un datacenter pour Infrastructure Cloud. Pour la société :

Recommandations sur le Cloud computing

Extraction de données authentifiantes de la mémoire Windows

Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas-Linel et David Feldman

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Hébergement MMI SEMESTRE 4

Hyper-V et SC Virtual Machine Manager Technologie de virtualisation sous Windows Server 2008 R2 [2ième édition]

Recovery as a Service

Cloud Computing : forces et faiblesses

Présentation de. ProConServ-IT NEXINDUS Technologies

Xavier Masse PDG IDEP France

La conformité et sa dérive par rapport à la gestion des risques

Projet d'infrastructure Cloud

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Sécurité des Postes Clients

ISO 27001:2013 Béatrice Joucreau Julien Levrard

ESPACE MULTIMEDIA DU CANTON DE ROCHESERVIERE

HEBERGEMENT SAGE PME Cloud Computing à portée de main

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

QU EST CE QUE LE CLOUD COMPUTING?

Système d'information agile pour les collectivités Collectif

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

Atelier numérique Développement économique de Courbevoie

Veille Technologique. Cloud-Computing. Jérémy chevalier

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Windows Azure Platform Développez, déployez et administrez pour le Cloud Microsoft

Visualization sur Ubuntu: Quels Choix? Nicolas Barcet

Naturellement SaaS. trésorier du futur. Livre blanc. Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS?

Mes logiciels d'entreprise dans le Cloud. Didier Gabioud

Marché Public. Serveurs et Sauvegarde 2015

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

CE QU IL FAUT SAVOIR SUR LE CLOUD COMPUTING

Baromètre MARKESS International des Prestataires du Cloud Computing 7 ème édition 2013

Sauvegarde des fichiers

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

LES OFFRES DE NOTRE DATA CENTER

Windows serveur 2008 installer hyperv

MS 2615 Implémentation et support Microsoft Windows XP Professionnel

Virtualisation et mutualisation Le cloud computing, un enjeu structurant et stratégique pour le secteur public. Paris, 4 mai 2011

Study Tour Cloud Computing. Cloud Computing : Etat de l Art & Acteurs en Présence

EXIN Cloud Computing Foundation

Nouvelles stratégies et technologies de sauvegarde

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

Case story Unitt Cardwise À propos de Cardwise

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud.


PANORAMA DES MENACES ET RISQUES POUR LE SI

ARCHITECTURE ET SYSTÈMES D'EXPLOITATIONS

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric Connes <Frederic.Connes@hsc.fr>

Présentation d'hsc Cabinet de consultants en sécurité de l'information Depuis 1989 21 consultants Domaines d'activité Sécurité technique : audits de sécurité, tests d'intrusion... Sécurité organisationnelle : appréciation des risques, politiques... Juridique : qualification OPQCM Formations : inter, intra, e-learning Références clients Participation à de nombreux groupes de travail et associations 2/11

Critères de sécurité Confidentialité Intégrité Disponibilité 3/11

Avantages du cloud pour la sécurité Adaptation rapide aux besoins donc meilleure disponibilité Augmentation/diminution de puissance à la volée Multiples instances physiques d'une même machine virtuelle En cas de problème, possibilité de passer d'une instance à l'autre quasi instantanément Multiples copies des données Potentiellement réparties sur plusieurs lieux géographiques Traitement au plus proche de l'utilisateur 4/11

Avantages du cloud pour la sécurité Déploiement de la sécurité «Masters» de machines virtuelles durcies Possibilité de revenir à une version antérieure opérationnelle Possibilité de multiplier facilement les outils de sécurité Externalisation de la sécurité IaaS : mutualisation de la sécurité physique/matérielle et du réseau Disques en RAID, protection contre les attaques réseau... SaaS : externalisation complète Analyse post-mortem, recherche de preuves Possibilité de prendre une image du système sans l'arrêter 5/11

Risques du cloud Perte de maîtrise Sur le matériel 6/11 Machines, électricité, climatisation, accès physique... Toujours géré par le prestataire Sur les logiciels En SaaS et en partie en PaaS : aucun contrôle En IaaS : risque d'utilisation de «masters» mal sécurisés voire compromis Sur le réseau Dépend de la connectivité du prestataire Toujours géré par le prestataire Risque que certaines mesures de sécurité soient impossibles à mettre en œuvre en raison des choix du prestataire Risque de faux sentiment de sécurité (marketing du prestataire)

Risques du cloud Perte de contrôle sur les données Généralement, le prestataire a potentiellement accès aux données Sur les espaces de stockage Administrateurs peuvent avoir les «clés» pour accéder aux comptes Les accès du prestataire pourraient être compromis Effacement de données En fonctionnement normal ou en fin de contrat Rien ne garantit que les données sont effectivement effacées Sur tous les supports existants (serveurs, sauvegardes...) Impossible d'utiliser des outils d'effacement réel Certains prestataires peuvent toutefois se faire certifier (ex : SAS70) 7/11

Risques du cloud Machines virtuelles : risques liés à l'hyperviseur Partage des ressources Plusieurs machines virtuelles sur une même machine physique Problèmes liés à l'isolation Du stockage : données de plusieurs clients sur les mêmes disques De la mémoire Des processeurs Du réseau Mais les failles sont plus rares et les attaques plus complexes 8/11

Risques du cloud Risques liés à l'interface de gestion des services Pour le cloud public Compromission des données d'authentification Conséquences Suppression de serveurs ou de services Actions en tant qu'administrateur Par exemple si le changement de mot de passe est possible à partir de l'interface de gestion Vol de données, transfert de services 9/11

Risques du cloud Risques pour l'obtention de certifications de sécurité La migration dans le cloud peut invalider ou rendre impossible une certification (ex : PCI-DSS) Le prestataire doit autoriser un audit de certification sur ses équipements Il ne recherche pas nécessairement une telle certification Difficulté à organiser un test d'intrusion Réversibilité : risques pour la disponibilité Impossibilité pratique de changer de fournisseur facilement Ou de revenir à un hébergement interne Absence de normes sur l'interopérabilité et la migration Peut créer une dépendance forte 10/11

Questions 11/11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back