Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust Ancien Responsable sécurité salle de marchés BNP, CISSP, Lead Auditor 27001, Ingénieur Télécom Toulouse, Expert sécurité intervenant à l'assemblée nationale Entrepreneur Twit : jcopiotro 23 Novembre 2011, Toulouse Security and Cloud Computing 1
ITrust, Expertise en sécurité informatique Audit, conseil, expertise, éditeur ITrust développe depuis 3 ans, un outil d'analyse comportementale novateur. l entreprise anticipe la prochaine rupture technologique majeure des outils dans le domaine de la cybersécurité. Expertise CISSP Lead Auditor ISO 27001 Certifié l ARJEL Trophés Label TIC 2009, catégorie «E-entreprise» Vice-lauréat des trophées de l innovation aux Assises de la Sécurité 1er prix des DSI aux IT-Days de Lyon Savoir faire Cloud - Porteur du projet «Secure Virtual CLoud» en réponse au grand emprunt (10 entreprises et laboratoires, 13ME) - Architecte de l entreprise étendue d un industriel depuis 5 ans - Intervenant en expert à l Assemblée nationale en Mars 2011 concernant «la sécurité du cloud» - Membre du Cloud security Alliance 2
3
Frein N 1 à l adoption du Cloud : La sécurité des données à 75% des répondants (Markess Int.) 4
5
Menaces sur le Cloud Des risques sur : Les applications? Les données? Les services? Providers pérenne? Fiables? Quid de la sécurité? Gestion des pannes? Gestion des incidents? Sauvegarde? Qui est responsable? 6
Où sont mes données? Dans le Cloud! Données soumises aux lois du Pays hébergeur! Exploitation des données marketing? Espionnage industriel? Protection des données privées? => Ne pas négliger le SLA! (clauses et contrats / monitoring) => Demander un contrôle de sécurité à votre prestataire! => un Label? 7
Les Risques sécurité du Nuage Cloud Security Risks / Threats Shared Technology Vulnerabilities Data Loss/Data Leakage Malicious Insiders Account Service or Hijacking of Traffic Insecure APIs Nefarious Use of Service Unknown Risk Profile 8
Nouvelle problématique Perte de contrôle du système d information Augmentation des risques liés à la centralisation des données. Contexte juridique et conformité risqué : CNIL, Patriot Act, EPrivacy, BaleIII, PCI/DSS? HIPAA L enjeu dans le cloud : Maitriser ses données externalisées : Contrôler les SLA Assurer la confidentialité ET l intégrité de ses données (et ses clients) Paradoxalement, Le Cloud offre la possibilité d augmenter le niveau de sécurité! 9
Points de vigilance Engagement de sécurité écrit du prestataire? quels outils, surveillance, chiffrement, mutualisation A quelles règlementations est soumis le prestataire (ex : Patriot Act?) Quelles clauses dans le contrat : qui intervient sur les machines tracer les interventions sorties de données hors de l UE contrôle sur les exploitant t personnes physiques clause de confidentialité SLA, exclusions, pénalités GDI, GDM permettre les audits réversibilité? suppression sécurisée des données... L auditer et le contrôler régulièrement 10
Merci. Retrouvez nous à la commission cloud du cluster tous les 3 ème mercredi de chaque mois Sécurité informatique 2010 V1.1 Page 2 11
Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments 12
What is Cloud Computing? Compute as a utility: third major era of computing 4 th Mainframe PC Client/Server Internet Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities 13