Cloud Computing: des risques sécurité spécifiques. Club EBIOS Thibault Chevillotte 11 décembre 2012

Documents pareils
en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

Les marchés Security La méthode The markets The approach

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

progena by PwC Une nouvelle approche du développement durable 31 mars 2011

LES APPROCHES CONCRÈTES POUR LE DÉPLOIEMENT D INFRASTRUCTURES CLOUD AVEC HDS & VMWARE

Production et orchestration de services digitaux, un nouvel enjeu pour les DSI

Stratégie IT : au cœur des enjeux de l entreprise

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

Cloud Computing: de la technologie à l usage final. Patrick CRASSON Oracle Thomas RULMONT WDC/CloudSphere Thibault van der Auwermeulen Expopolis

Le Cloud: Mythe ou Réalité?

accompagner votre transformation IT vers le Cloud de confiance

Frequently Asked Questions

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Projet de réorganisation des activités de T-Systems France

Discours du Ministre Tassarajen Pillay Chedumbrum. Ministre des Technologies de l'information et de la Communication (TIC) Worshop on Dot.

FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)

Cheque Holding Policy Disclosure (Banks) Regulations. Règlement sur la communication de la politique de retenue de chèques (banques) CONSOLIDATION

ISO/IEC Comparatif entre la version 2013 et la version 2005

AUDIT COMMITTEE: TERMS OF REFERENCE

La sécurité des solutions de partage Quelles solutions pour quels usages?

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

SERVEUR DÉDIÉ DOCUMENTATION

VMware : De la Virtualisation. au Cloud Computing

Les systèmes CDMS. et les logiciels EDC

Containers : Outils magiques pour les Devops? OpenNebula et son écosystème pour une infrastructure cloud agile

EXALOGIC ELASTIC CLOUD MANAGEMENT

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

HÉBERGEMENT CLOUD & SERVICES MANAGÉS

Grandes tendances et leurs impacts sur l acquisition de produits et services TI.

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Nouveautés printemps 2013

Conférence Bales II - Mauritanie. Patrick Le Nôtre. Directeur de la Stratégie - Secteur Finance Solutions risques et Réglementations

AVOB sélectionné par Ovum

Opportunités s de mutualisation ITIL et ISO 27001

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Panorama des bonnes pratiques de reporting «corruption»

Name Use (Affiliates of Banks or Bank Holding Companies) Regulations

RAPID Prenez le contrôle sur vos données

Guide d'installation rapide TFM-560X YO.13

Relions les hommes à l entreprise Linking people to companies

Quatre axes au service de la performance et des mutations Four lines serve the performance and changes

Instructions Mozilla Thunderbird Page 1

Plateforme Technologique Innovante. Innovation Center for equipment& materials

PIB : Définition : mesure de l activité économique réalisée à l échelle d une nation sur une période donnée.

Networking Solutions. Worldwide VSAT Maintenance VSAT dans le Monde Entretien. Satellite Communications Les Communications par Satellite

AMENDMENT TO BILL 32 AMENDEMENT AU PROJET DE LOI 32

Multiple issuers. La cotation des actions ROBECO ci-dessous est suspendue sur EURONEXT PARIS dans les conditions suivantes :

Préparation / Industrialisation. Manufacturing Engineering/ On-site Industrialisation. Qualité, contrôle et inspection. On-site quality and Inspection

Le Cloud Computing est-il l ennemi de la Sécurité?

SAP Runs SAP Reporting Opérationnel & BI avec HANA et SAP Analytics. Pierre Combe, Enterprise Analytics Juin, 2015

L Art d être Numérique. Thierry Pierre Directeur Business Development SAP France

Gestion des autorisations / habilitations dans le SI:

Les Grandes Tendances d Investissement Informatique en 2011/ Rachel Hunt

EMC Enterprise Hybrid Cloud. Emmanuel Bernard Advisory vspecialist

Gouvernance et nouvelles règles d organisation

.Réinventons l innovation.

Bitdefender GravityZone

Notice Technique / Technical Manual

L offre IBM Software autour de la valeur métier

QlikView et Google Big Query : Une réponse simple, rapide et peu coûteuse aux analyses Big Data

Architectures informatiques dans les nuages

Serveur d'application à la juste taille

Infrastructure technique de géodonnées. Technische Geodateninfrastruktur. Cédric Moullet Forum e-geo.ch, 15. November 2013

Information Security Management Lifecycle of the supplier s relation

Déterminer les enjeux du Datacenter

Préparer un état de l art

Tier 1 / Tier 2 relations: Are the roles changing?

APPENDIX 2. Provisions to be included in the contract between the Provider and the. Holder

La Poste choisit l'erp Open Source Compiere

IT SERVICES BUSINESS STORAGE DATA AUDIT PARTNERSHIP INTEGRATOR SECURITY PLANNING PRIVATE AGILITY DYNAMIC PUBLIC TECHNOLOGY SOLUTIONS MANAGEMENT

Innovative BI with SAP Jean-Michel JURBERT D. de Marché BI, HANA, BIG DATA _ SAP France

Atelier WEB20 : IBM WebSphere CAST IRON

La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire

setting the scene: 11dec 14 perspectives on global data and computing e-infrastructure challenges mark asch MENESR/DGRI/SSRI - France

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Solutions Dell Networking pour le Big Data. Philippe MARTIN Networking Sales Specialist - p_martin@dell.com

Public and European Business Law - Droit public et européen des affaires. Master I Law Level

Vers un nouveau modèle de sécurisation

IBM SmartCloud pour Editeurs

Cisco Identity Services Engine

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

VCE La solution d'infrastructure convergée pour accélerer la modernisation de vos environnments Retour d'expérience client SOGECLAIR

Le No.1 de l économie d énergie pour patinoires.

Présentation par François Keller Fondateur et président de l Institut suisse de brainworking et M. Enga Luye, CEO Belair Biotech

Institut français des sciences et technologies des transports, de l aménagement

Séminaire Partenaires Esri France 7-8 juin Paris Cloud Computing Stratégie Esri

Big Data: comment passer de la stratégie à la mise en œuvre? Big Data Paris Mars 2015

GESTION DU CYCLE DE VIE. Albert Amar Avant-vente Middleware

Digitalisation de l Industrie Bancaire

Stratégie et Vision de SAP pour le secteur Banque- Assurance: Data-Management, BI, Mobilité

THE OUAGADOUGOU RECOMMENDATIONS INTERNET INFRASTRUCTURE FOR AN AFRICAN DIGITAL ECONOMY 5-7 MARCH 2012

PLATE- FORME MUTUALISEE DE SERVICES DIFFERENCIES POUR USAGES D ETABLISSEMENTS D ENSEIGNEMENT SUPERIEUR ET DE RECHERCHE ET APPLICATIONS METIER

RICHEL SERRES DE FRANCE PAR_ _02432_ALT DATE: 03/02/2012

Contrôle d'accès Access control. Notice technique / Technical Manual

Name of document. Audit Report on the CORTE Quality System: confirmation of the certification (October 2011) Prepared by.

Stratégie d externalisation des services pour les établissements

Cedric Dumoulin (C) The Java EE 7 Tutorial

Transcription:

Cloud Computing: des risques sécurité spécifiques Club EBIOS Thibault Chevillotte 11 décembre 2012

Ordre du jour Cloud Computing : contexte et enjeux Panorama des risques spécifiques au cloud computing Bonnes pratiques sécurité Et si le cloud computing apportait des solutions à la sécurité? Débat Logica Business Consulting 2011. All rights reserved No. 2

De l infogérance aux Clouds Infrastructure dédiée Service dédié Service partagé + Facturation à l usage + On-Demand (self-service) + On-Demand (self-service) + Accès universel (réseau et client) + Facturation à l usage + Elasticité + Ressources partagées + Location Infogérance ASP SaaS PaaS Iaas Client Server Web Cloud Computing Logica Business Consulting <YEAR>. All rights reserved No. 3

Cloud, de quoi parle t on? Fourniture de ressources en tant que «services», au travers du réseau de façon souple grâce à l'usage de technologies Internet. Bénéfices Clés Agilité Business Flexibilité Croissance économique Optimisation des ressources OPEX vs. CAPEX Innovation Logica Business Consulting <YEAR>. All rights reserved

Modèles de déploiement Cloud public Cloud communautaire Cloud privé / Cloud privé outsourcé Services standards fournis par Internet Services produits et partagés par une communauté d intérêts Ex. joint Venture Services produits dans les centres informatiques de l entreprise ou d un partenaire de confiance, et fournis par un réseau «privé» Paiement à l usage (OPEX) Time to Market Simplicité Flexibilité Amélioration de la collaboration entre les partenaires (B2B) Partage et optimisation des coûts Optimisation des ressources Qualité de service Facturation interne (en fonction de l usage) Cloud hybride Logica Business Consulting <YEAR>. All rights reserved No. 5

Cloud : un modèle flexible, élastique Source: CIGREF Logica Business Consulting <YEAR>. All rights reserved No. 6

Source: Syntec Source: Syntec Source: Syntec Modèles de service et responsabilités Infrastructure as a Service Location de ressources techniques (capacité de traitement, stockage) au travers du réseau Infrastructure en ligne pour héberger vos applications Héberger Platform as a Service Déploiement d applications spécifiques Plateforme en ligne prête à l emploi pour développer, tester, déployer vos applications spécifiques Ex. : Base de données Développer Software as a Service Utilisation d applications «web» RH, Achat, Messagerie, Collaboration, CRM, prêtes à l emploi Utiliser Logica Business Consulting <YEAR>. All rights reserved No. 7

Les caractéristiques essentielles Caractéristique Ressources partagées Question de sécurité Quels mécanismes de cloisonnement entre compartiments? Quel nettoyage avant ré-utilisation? Quelle politique et quelles règles de sécurité applicables? Comment imputer les actions à leurs auteurs? Flexibilité Allocation dynamique Provisioning automatisé Quelles limites géographiques et donc quelles réglementations applicables? Quels moyens disponibles pour assurer la disponibilité des ressources? Qui garde le contrôle? Quel processus d approbation? Quel engagement et quel support de la part du fournisseur? Accès en ligne Quelles garanties de protection de la plate-forme qui est exposée? Quels moyens de surveillance et de réaction? Usage mesuré Paiement à l usage La sécurité est-elle incluse dans le prix ou optionnelle? Comment contrôler la facture? Logica Business Consulting 2011. All rights reserved No. 8

Ordre du jour Cloud Computing : contexte et enjeux Panorama des risques spécifiques au cloud computing Bonnes pratiques sécurité Et si le cloud computing apportait des solutions à la sécurité? Débat Logica Business Consulting 2011. All rights reserved No. 9

Risques identifiés Introduits par la nouvelle organisation du sourcing : Lié à l introduction d un tiers : Perte de maîtrise des environnements (MENACE) Relations avec le fournisseur (MENACE) et notamment en cas de défaillance du fournisseur (source de MENACE) Interne à l entreprise : Perte de visibilité et de contrôle de l informatique (incidents, surveillance ) (MENACE) Introduits par les nouveaux usages : Confusion entre environnements et exposition de l environnement de test (MENACE) Accès à partir d environnements non maîtrisés et nouveaux usages (MENACE) Logica Business Consulting 2011. All rights reserved No. 10

Risques identifiés Liés aux technologies et à leur mise en œuvre : au niveau de l interface : Exposition du service (source de MENACE) Compromission de l interface de gestion (Evènement REDOUTE) Indisponibilité ou divulgation de données (Evènement REDOUTE) Usurpation d identité (MENACE ou Evènement REDOUTE) propre au service lui-même : Dispersion du service dans différents pays (MENACE) Complexité de gestion des ressources (MENACE) Evolution d un environnement mutualisé (MENACE) Défaut de cloisonnement (MENACE) lié aux données externalisées : Dispersion des données stockées (MENACE) Réutilisation de mémoire (MENACE) Accès indirect aux données (MENACE) Logica Business Consulting 2011. All rights reserved No. 11

Ordre du jour Cloud Computing : contexte et enjeux Panorama des risques spécifiques au cloud computing Bonnes pratiques sécurité Et si le cloud computing apportait des solutions à la sécurité? Débat Logica Business Consulting 2011. All rights reserved No. 12

Points d attention - sécurité Choisir un modèle de déploiement et de service en fonction de l analyse de risque du projet. Sujets à traiter avec le fournisseur, lors de son choix, au niveau du contrat et de manière régulière : Niveaux de service Indicateurs et supervision du service calcul de disponibilité Gestion des identités et modes d authentification (utilisateur, administrateur et APIs) Accès aux données (sauvegarde/restauration, archivage, fin de contrat etc.) Destruction des données Moyens de cloisonnement Capacités de secours Traces Localisation des données droit applicable Gestion des évolutions Gestion des incidents - investigation Sous-traitance Audit Facturation détaillée Vulnérabilités liées à l intégration du service dans le système d information de l entreprise (interface, usage du réseau, pseudonymisation etc.) Eléments de preuve du fournisseur (rapports d audit, certification etc.) Logica Business Consulting <YEAR>. All rights reserved No. 13

Corporate data center Security architecture Public Cloud Private cloud Corporate user Policy Identity Keys Logs Internet user Logica Business Consulting 2012. All rights reserved No. 14

Gouvernance Companies that provide enterprise cloud computing platforms should (Guiding principles from Salesforce.com): Transparency: Use Limitation: Disclosure: explain their information handling practices and disclose the performance and reliability of their services on their public Web sites. claim no ownership rights in customer data and should use customer data only as their customers instruct them, or to fulfill their contractual or legal obligations. disclose customer data only if required to do so by the customer or by law, and should provide affected customers prior notice of any legally compelled disclosure to the extent permissible by law. Security Management System: maintain a robust security management system that is based on an internationally accepted security framework (such as ISO 27002) to protect customer data. Customer Security Features: provide their customers with a selection of security features to implement in their usage of the cloud computing services. Data Location: make available to their customers a list of countries in which their customer data related to them is hosted. Breach Notification: notify customers of known security breaches that affect the confidentiality or integrity of their customer data promptly. Audit: use third-party auditors to ensure compliance with their security management system and with these principles. Data Portability: make available to customers their respective customer data in an industry-standard, downloadable format. Accountability: work with their customers to designate appropriate roles for privacy and security accountability. Logica Business Consulting 2012. All rights reserved No. 15

Démarche recommandée 1- Analyser les risques sur la base des biens et prendre en compte les exigences de conformité 2- Choisir les modèles de service et de déploiement en prenant en compte les risques 3- Assurer l intégration de la sécurité avec l environnement de l entreprise 4- Accompagner le projet tout au long de son cycle de vie sur la dimension sécurité 5- Développer l assurance opérationnelle sécurité 6- Tirer parti du cloud computing pour améliorer la sécurité Logica Business Consulting 2012. All rights reserved No. 16

Ordre du jour Cloud Computing : contexte et enjeux Panorama des risques spécifiques au cloud computing Bonnes pratiques sécurité Et si le cloud computing apportait des solutions à la sécurité? Débat Logica Business Consulting 2011. All rights reserved No. 17

Security as a Service Identity & Access Management as a Service Provisioning des identités et des accès, self-service et circuit d approbation Authentification as a service Fédération d identité Signature électronique Security Information & Event Monitoring as a Service Collecte et agrégation d évènements Analyse régulière ou post-mortem Rapports et alertes Business Continuity as a Service Espaces de stockage (procédures, canevas...) Services d alerte (envoi de SMS, web conférences...) pour contacter et organiser les équipes de secours Solutions de secours informatique Logica Business Consulting <YEAR>. All rights reserved No. 18

Ordre du jour Cloud Computing : contexte et enjeux Panorama des risques spécifiques au cloud computing Bonnes pratiques sécurité Et si le cloud computing apportait des solutions à la sécurité? Débat Logica Business Consulting 2011. All rights reserved No. 19

Débat Faut-il créer un référentiel spécifique au CLOUD (sources de menace, menaces, vulnérabilités)? Logica Business Consulting 2011. All rights reserved Footer appears here No. 20

Merci Logica Business Consulting France Tour CB16, 17 place des Reflets 92097 PARIS LA DEFENSE Cedex Contact: Thibault CHEVILLOTTE T: +33 (0) 1 57 87 52 29 M: +33 (0) 6 13 04 33 94 E: thibault.chevillotte@logica.com Logica Business Consulting is the consulting division of the Logica group, a leading IT and business services company, employing 40,000 people. It provides business consulting, system integration, and IT and business process outsourcing services. Logica Business Consulting has a network of 3,500 consultants located throughout Europe. Our consultants help drive the success of clients transformation projects. They stand apart through their European culture, ability to work closely with clients, and unique blend of sector-based, functional and technological expertise. More information is available at www.logica.com/consulting