LA CONDENSATION DE LA SÉCURITÉ OU COMMENT TRAITER LA SÉCURITÉ DANS LE NUAGE

Documents pareils
IPS : Corrélation de vulnérabilités et Prévention des menaces

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Auditabilité des SI et Sécurité

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Vers un nouveau modèle de sécurité

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Installer le patch P-2746 et configurer le Firewall avancé

Menaces et sécurité préventive

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

L UNIVERS INSTANTANÉ:

Jeudi 20 Novembre. Apports de la transformation digitale par des innovations technologiques

CATALOGUE DE PRESTATIONS D ACCOMPAGNEMENT METIER DES CENTRES DE CONTACTS

PLATE- FORME MUTUALISEE DE SERVICES DIFFERENCIES POUR USAGES D ETABLISSEMENTS D ENSEIGNEMENT SUPERIEUR ET DE RECHERCHE ET APPLICATIONS METIER

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

PANORAMA ET RISQUES DE L OUVERTURE DES SI MODERNES

Vidéo Protection La R82

Montrer que la gestion des risques en sécurité de l information est liée au métier

Pour les entreprises de taille moyenne. Descriptif Produit Oracle Real Application Clusters (RAC)

5 novembre Cloud, Big Data et sécurité Conseils et solutions

METIERS DE L INFORMATIQUE

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Le Réseau Social d Entreprise (RSE)

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Conditions de l'examen

Piloter le contrôle permanent

Prestations d audit et de conseil 2015

Urbanisation de système d'information. PLM 6 (Product Lifecycle Management) Collaboration et partage d'informations

HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés.

Produits et grille tarifaire. (septembre 2011)

SYSTÈMES DE STOCKAGE AVEC DÉDUPLICATION EMC DATA DOMAIN

NORME INTERNATIONALE INTERNATIONAL STANDARD. Dispositifs à semiconducteurs Dispositifs discrets. Semiconductor devices Discrete devices

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

QU EST CE QUE LE CLOUD COMPUTING?

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage.

DOMAINES CLÉS COUVERTS PAR LE PROGRAMME

ACCÉLÉREZ VOTRE BOUTIQUE AVEC UN HÉBERGEMENT E-COMMERCE 100% PRESTASHOP & MAGENTO

Nouveaux enjeux de recherche en sécurité routière liés à l'automatisation des véhicules : conséquences sur l'activité de conduite

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

LA CAMÉRA THERMIQUE GUIDE PRATIQUE DE. pour les activités du bâtiment 4SOMMAIRE

Mémoire technique Mise en place de l appliance SMS Couplage Supervision V1.0

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS?

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Serveur Appliance IPAM et Services Réseaux

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

PERFORMANCE ÉNERGÉTIQUE. Pour la gestion durable de votre patrimoine immobilier

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Focus Assistance 2014

Ministère de l intérieur

Audits Sécurité. Des architectures complexes

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

EXIN Agile Scrum Master

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Optimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies

Le meilleur du marché pour sécuriser vos données

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

Moderniser. le système d information et le portefeuille applicatif.

Rapport d évaluation de la licence professionnelle

THEORIE ET CAS PRATIQUES

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Urbanisation des systèmes d information

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

MegaStore Manager ... Simulation de gestion d un hypermarché. Manuel du Participant

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Règlement de Fonctionnement

Politique de Sécurité des Systèmes d Information

Procédure Platine Exchange 2010 Accompagnement à la migration de votre compte 09/08/ Version 1.0 Hébergement web professionnel

L ogre Facebook mangera-t-il le petit poucet Twitter?

ANDRITZ Atro Vis hydrodynamique

SEPA Direct Debit La domiciliation dans un marché unifié pour les paiements européens au 1er février 2014

DIAGNOSTIQUEUR IMMOBILIER

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

RAMOS. Etude d Application. All rights reserved, CONTEG 2013

Software Asset Management Savoir optimiser vos coûts licensing

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

Les conséquences de Bâle II pour la sécurité informatique


Connaître les Menaces d Insécurité du Système d Information

FAIRE FACE A UN SINISTRE INFORMATIQUE

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

TP Service HTTP Serveur Apache Linux Debian

Gateway4Cloud Conditions Spécifiques

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Bienvenue. Présentation de la société. Mons, le 19 septembre Gilles Dedisse, Chef de Projets

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Supervision & Maintenance des centrales photovoltaïques en toiture GARANTIR LA PERFORMANCE DE VOS INVESTISSEMENTS DANS LE TEMPS

Transcription:

LA CONDENSATION DE LA SÉCURITÉ OU COMMENT TRAITER LA SÉCURITÉ DANS LE NUAGE JSSI 22 mars 2011 C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y 1 22/03/2011

LA CONDENSATION DE LA SÉCURITÉ OU COMMENT TRAITER LA SÉCURITÉ DANS LE NUAGE Qui sommes nous? Guillaume Laudière Jean-Marc Boursat Quel est le sujet? Retour d expériences sur des offres SaaS 2

SOMMAIRE La sécurité face à l émergence des offres SaaS Comprendre les impacts sécurité Nos constats Retour d expériences Conclusion Savoir préparer la mise en œuvre d une application en mode SaaS 3 22/03/2011

ÉMERGENCE OU MULTIPLICATION DES OFFRES SAAS Une réelle mutation des SI Le marché des offres SaaS s organise La maitrise de l information Quel peut être notre niveau de confiance? 4

ENJEUX SÉCURITÉ DES OFFRES SAAS Besoin de réactivité très fort Changement de rapport de force DICT face à la mutualisation des services Comment garder le contrôle? 5

DES PISTES POUR SE PRÉPARER Adapter sa politique sécurité Guider ou accompagner les projets Définir des contrôles adaptés Se concentrer sur les données 6

MAITRISER LA PRESTATION L offre telle qu on la voit L application SaaS doit s insérer néanmoins au SI 7

MAITRISER LA PRESTATION Exploitant Hébergeur Client Éditeur Hébergeur 8

MAITRISER LA PRESTATION Exploitant Intégrateur Hébergeur Client Éditeur Exploitant Hébergeur 9

MAITRISER LA PRESTATION Hébergeur Client Client Éditeur Exploitant Administration Sauvegarde Mainteneur Télé-surveilleur 10

NOTRE DÉMARCHE D AUDITS Analyse des enjeux de sécurité et des contrats Approche ISO 27002 Organisation de la sécurité de l information Gestion des opérations et des communications Contrôle d accès au SI Sécurité physique et environnemental du patrimoine informationnel Acquisition, développement et maintenance des systèmes d'information Réalisation de tests d intrusion 11

L INTÉRÊT DE NOTRE DÉMARCHE D AUDITS Offrir une vision large de la sécurité de l application (organisationnelle, contractuelle, technique) Avoir une méthodologie unifiée permettant une capitalisation des vulnérabilités identifiées Rechercher la cohésion de la prestation au travers des différents intervenants 12

UNE ATTENTION CIBLÉE SELON LES ACTEURS Périmètre Analyse des enjeux et contrat Acteur Editeur Exploitant Hébergeur Organisation de la sécurité de l information Gestion des opérations et des communications Contrôle d accès au SI Sécurité physique et environnementale du patrimoine informationnel Acquisition, développement et maintenance des systèmes d'information Réalisation de tests d intrusion 13

LES DANGERS DE L'OFFRE SAAS 1. Le manque de sensibilisation des fournisseurs Principalement des éditeurs (80 % des contrôles effectués) Petites structures (trentaine de personnes) L approche sécurité n est pas toujours adaptée au contexte d une grande société Un éditeur a utilisé un compte trivial pour l installation de son application pour TOUS ses clients. 14

LES DANGERS DE L'OFFRE SAAS 2. La multiplicité des tiers Découvertes de tiers non déclarés Un éditeur a contractualisé l hébergement et l exploitation auprès de l hébergeur A : Lors de la revue, l éditeur découvre que l hébergeur A n est pas un hébergeur mais un exploitant louant des m² à un hébergeur. Les engagements contractualisés entre l exploitant et l hébergeur ne prennent pas en compte les enjeux contractualisés entre le client et l éditeur. 40 % des contrôles ont révélé une externalisation ou une sous-traitance non déclarée au client 15

LES DANGERS DE L'OFFRE SAAS 3. Le support et de la gestion des alertes Incohérence dans le processus Constats observés à plusieurs reprises : Différence entre la plage horaire d ouverture et la plage de support, Interlocuteurs non identifiés, Processus de support et d escalade entre le client et le fournisseur non formalisés. 60 % des contrôles démontrent un écart au niveau du processus d alerte 17

LES DANGERS DE L'OFFRE SAAS 4. La continuité d activité Les fournisseurs réagissent en termes de disponibilité d une application et non dans le cas d un sinistre d une salle informatique. Option dans le contrat non souscrite Pas de processus transverse de continuité 100 % des contrôles démontrent une défaillance importante au niveau de l approche Continuité 19

LES DANGERS DE L'OFFRE SAAS 5. La gestion des sauvegardes Absence de tests de restauration complets 50 % des contrôles démontrent que les tests de restauration complets ne sont pas réalisés 6. La traçabilité Absence de centralisation Absence de revue des journaux (même automatisée) 70% des contrôles démontrent un manque de sécurisation des logs (non centralisés, non contrôlés ) 20

LES DANGERS DE L'OFFRE SAAS 7. Au niveau Juridique Déclaration CNIL non réalisée par le client 55 % des clients n ont pas réalisé la déclaration 8. Au niveau de l exploitation Des actions d administration dans le cadre d astreinte réalisées depuis des postes personnels non maitrisés 33% des contrôles démontrent un manque de sécurisation des accès d astreintes 21

LES DANGERS DE L'OFFRE SAAS 9. La gestion de la fin de la prestation SaaS L arrêt de la prestation d une offre SaaS doit entrainer la restitution ou la destruction des données Les conditions de restitution ou de migration doivent s anticiper Lors de la fin de la prestation d une application, l exploitant ne disposait pas de processus de destruction des données et pouvait les conserver contractuellement pendant encore plus d un an. 23

BONNES PRATIQUES OBSERVÉES Bon niveau global de la sécurité physique des hébergeurs : Le niveau de sécurité des sites généralement Tiers 2, 3 ou 4 Sécurité des accès physique maitrisée Bon niveau de sécurité d une application SaaS très sensible : Filtrage des flux Chiffrement des disques Démarrage ultra sécurisé de l application 24

CONCLUSION 25 22/03/2011

BIEN SE PRÉPARER Impliquer les équipes sécurité lors de la constitution du contrat 26

Les contrôles à mettre en œuvre L offre est conforme aux attentes sécurité Les responsabilités sont clairement définies Les engagements sont tenus Maintenir une relation de confiance est primordial pour pouvoir assurer les contrôles dans de bonnes conditions et maintenir un bon niveau de réactivité La réalisation d une revue permet au fournisseur de mieux comprendre les attentes de ses clients 27

LES LIMITES DU MODÈLE Encadrer la prestation est couteux Maitriser les données est complexe Conserver la gestion des comptes est primordiale 28

DERNIERS MOTS Security as a Service Effet de mode Profonde mutation 29

CONTACT: PHONE: EMAIL: COUNTRY: WEBSITE : Jean-Marc Boursat / Guillaume Laudiére 06 64 48 96 27 / 06 87 73 27 12 Jean-marc.boursat@devoteam.com Guillaume.laudiere@devoteam.com France www.devoteam.com AUTHOR: DATE: 22/03/2011 FURTHER INFORMATION: DEVOTEAM GROUP THIS DOCUMENT IS NOT TO BE COPIED OR REPRODUCED IN ANY WAY WITHOUT DEVOTEAM EXPRESS PERMISSION. COPIES OF THIS DOCUMENT MUST BE ACCOMPANIED BY TITLE, DATE AND THIS COPYRIGHT NOTICE. PICTURES: DREAMSTIME.COM OG BIGSTOCKPHOTO.COM 30 22/03/2011

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back