Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage



Documents pareils
Accélérez le projet de Cloud privé de votre entreprise

Nécessité de concevoir un catalogue de services lors du développement de services infonuagiques

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

Sécurité et «Cloud computing»

Planifier la migration des applications d entreprise dans le nuage

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Control Compliance Suite 8.6

Solutions McAfee pour la sécurité des serveurs

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques

L'infonuagique, les opportunités et les risques v.1

Symantec Network Access Control

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Les bases du cloud computing : revaloriser les technologies de l'information

Gestion de la sécurité de l information par la haute direction

KASPERSKY SECURITY FOR BUSINESS

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

Spécifications de l'offre Surveillance d'infrastructure à distance

Le cloud computing. Les attributions et le rôle du département IT changent LE POINT DE VUE DES DIRIGEANTS SUR LE CLOUD.

Comprendre ITIL 2011

Gestion du centre de données et virtualisation

Tableau Online Sécurité dans le cloud

Examen professionnel. Informatique, système d information. Réseaux et télécommunications

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

A Brave. Qui est responsable de la sécurité du cloud? L'opinion d'un expert de Trend Micro. Février 2011

Livre. blanc. Juin Ce livre blanc ESG a été commandé par Hewlett-Packard et est distribué sous licence d ESG.

Faire le grand saut de la virtualisation

Architecture de sécurité dynamique et souple

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Symantec CyberV Assessment Service

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

SafeNet La protection

Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec

Panorama général des normes et outils d audit. François VERGEZ AFAI

La reprise d'activité après sinistre est-elle assez prise en compte par les PME?

JOURNÉE THÉMATIQUE SUR LES RISQUES

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

La sécurité du «cloud computing» Le point de vue de Microsoft

Altiris Asset Management Suite 7.1 from Symantec

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

La Gouvernance d entreprise avec le Cloud

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Virtualisation des postes de travail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

ITIL Mise en oeuvre de la démarche ITIL en entreprise

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Total Protection for Compliance : audit unifié des stratégies informatiques

Concepts et définitions

Gestion des identités et des accès pour garantir la conformité et réduire les risques

Protéger les données critiques de nos clients

Pourquoi le cloud computing requiert un réseau intelligent en cloud

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars Guintech Informatique. Passer à la première page

Professeur superviseur Alain April

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

En savoir plus pour bâtir le Système d'information de votre Entreprise

COBIT (v4.1) INTRODUCTION COBIT

NAVIGUER DANS LE CLOUD. La gestion des actifs logiciels (SAM) : un enjeu plus important que jamais

La planification et la conception sont indispensables pour réussir

Comprendre ITIL 2011

Accélérez la transition vers le cloud

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

Modèle Cobit

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

Description de l entreprise DG

Économies d'échelle Aide à l'intégration Mises à niveau Infrastructure et sécurité de niveau international... 7

Solution de gestion des journaux pour le Big Data

Tufin Orchestration Suite

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Principes de liberté d'expression et de respect de la vie privée

Fiche méthodologique Rédiger un cahier des charges

PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ

SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX

Gestion de la mobilité en entreprise (EMM, enterprise mobility management)

Éditions QAD On Demand est disponible en trois éditions standard : QAD On Demand is delivered in three standard editions:

Sage CRM. 7.2 Guide de Portail Client

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Optimisation WAN de classe Centre de Données

FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland DOCUMENTS. Plus de. Plus de. Plus de.

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

Qu'est-ce que le BPM?

Audits de TI : informatique en nuage et services SaaS

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Offering de sécurité technologique Sécurité des systèmes d'information

Module 0 : Présentation de Windows 2000

Risques d accès non autorisés : les atouts d une solution IAM

L'automatisation intelligente de Cisco pour le cloud

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

Transcription:

Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage Gestion de la gouvernance, des risques et de la conformité pour assurer la sécurité des informations dans le nuage Introduction Aujourd'hui, les entreprises sont poussées, par des facteurs économiques et par le secteur, à adopter de nouveaux modèles de TI tels que l'informatique en nuage. Ainsi, le taux d'adoption de l'informatique en nuage augmente. Selon certains analystes, 30 à 50 % des services des TI seront transférés sur le nuage au cours des dix prochaines années. Parfois nommée informatique virtuelle ou informatique en nuage, un système infonuagique extrait les services et ressources TI de leur infrastructure et les regroupe de manière économique pour les fournir à la demande et de manière évolutive dans un environnement infonuagique élastique, multilocataire et partagé. L'informatique en nuage aide les entreprises à réduire les coûts associés aux infrastructures (y compris les infrastructures de sécurité) et à optimiser les dépenses d'investissement et les frais d'exploitation. Il facilite également la gestion des infrastructures multilocataires tout en alignant et optimisant les processus internes. En plus de sécuriser l'expérience utilisateur, l'informatique en nuage permet de mettre en place rapidement des accords de niveau de service pour les applications, et de satisfaire aux demandes de provisionnement rapide de services et de services associés à des processus de rétrofacturation. Cependant, dans une étude publiée en 2010 par ISACA sur les problématiques de sécurité de l'infonuagique, seuls 17 % des personnes interrogées pensaient que les bénéfices de l'infonuagique l'emportaient sur les risques. Une des sources d'inquiétude pour les services des TI est un aspect qui rend l'informatique en nuage si économique : le fait de partager le nuage avec d'autres locataires. De nombreux chefs d'entreprise et fournisseurs de services voient le nuage multilocataire et ses locataires comme des points d'entrée potentiels pour des virus et des programmes malveillants et des zones de piratage de trafic, de service ou de compte. Lorsqu'une entreprise rassemble plusieurs services dans le cadre d'une fusion ou migre les opérations vers un environnement partagé, des risques peuvent survenir si les utilisateurs, les données, les politiques et les procédures ne sont pas isolés. D'autres éléments préoccupent les entreprises : la fuite et la perte de données, la continuité des activités et la reprise sur sinistre, la gestion des accords de niveau de service et l'environnement de sécurité. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 1

«Les contrôles de sécurité pour l'informatique en nuage ne sont pour la plupart pas vraiment différents des contrôles de sécurité de n'importe quel autre environnement des TI. Cependant, en raison des modèles de service infonuagique utilisés, des modèles opérationnels et des technologies mises en place pour déployer les services infonuagiques, l'informatique en nuage peut présenter des risques différents de ceux rencontrés dans un environnement de TI classique.» Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (Conseils en matière de sécurité sur des points spécifiques à l'informatique en nuage, version 2.1) Cloud Security Alliance, 2009 Les gestionnaires de risques des entreprises et les investisseurs ont des préoccupations similaires : démontrer la conformité réglementaire, développer une stratégie pour aligner les besoins des TI et commerciaux, et éviter les incidents de sécurité pendant la période de transfert vers le nuage. (voir figure 1). Bien que préoccupés par les risques, les entreprises et les investisseurs savent bien que, s'ils ne prennent pas de risques contrôlés, la valeur commerciale générée sera faible. Figure 1. Hiérarchisation des opérations de gestion des risques TI Alignement des besoins des TI et des objectifs commerciaux Comme démontré par l'étude menée par ISACA, le développement d'une stratégie d'alignement des besoins des TI et des objectifs commerciaux doit être une priorité lors de la gestion des risques de l'infonuagique. Lorsqu'une entreprise recherche des infrastructures en nuage et un modèle de déploiement spécifiquement adaptés à ses besoins, elle se rend rapidement compte de l'importance d'un programme de sécurité aligné sur l'architecture du nuage. Les exigences de sécurité concernées portent sur : les politiques stratégiques et opérationnelles, les plans de gestion et d'évaluation des risques, les contrôles organisationnels et techniques et les indicateurs permettant de jauger l'efficacité du programme de sécurité. Que vous utilisiez une infrastructure physique ou virtualisée, pour gérer efficacement la sécurité vous devez disposer d'un portefeuille interdépendant de politiques de sécurité, d'investissements et de contrôles : GRC pour les TI. L'expression Conformité, gestion des risques et gouvernance des TI (GRC pour les TI) est un concept technique qui englobe la gestion totale des technologies de l'information (et de leur sécurité) et qui permet aux entreprises d'atteindre leurs objectifs commerciaux. Pour l'informatique en nuage, un programme GRC pour les TI peut représenter un cadre efficace lors de la conception d'architectures de sécurité robustes qui protègent et promeuvent la valeur commerciale du nuage. La gouvernance est la gestion de la sécurité des TI grâce à une stratégie, plutôt que par l'intermédiaire de plusieurs composants et technologies. Ainsi, la sécurité est traitée comme un processus commercial : les besoins technologiques sont adaptés aux besoins commerciaux et l'efficacité du portefeuille de ressources et d'investissements de sécurité est surveillée. La gestion des risques consiste à déterminer la probabilité et l'ampleur d'événements indésirables et incertains, puis à utiliser les données récoltées pour prendre des décisions éclairées. La question n'est pas de savoir si l'adoption du nuage est risquée (toute adoption technologique l'est), mais où se trouvent les risques, quelle est leur nature, et comment réduire les pertes et maximiser les avantages du nuage. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 2

La conformité est le fait pour une entreprise de respecter les exigences, qu'elles viennent des administrations publiques, du secteur, d'un contrat ou de politiques internes. Aujourd'hui, les environnements de TI sont constamment examinés et surveillés. Le fait de devoir prouver leurs efforts aux auditeurs, à leurs partenaires et à leurs clients est un des facteurs majeurs les poussant à améliorer la sécurité. Voici quelques questions de base que les entreprises peuvent se poser pour évaluer leur stratégie de sécurité : Quelle est notre stratégie infonuagique? Quel type/modèle de nuage souhaitons-nous mettre en place? Comment le nuage pourrait-il nous avantager? Quels sont les risques introduits par notre stratégie infonuagique? Quels sont les risques commerciaux (y compris ceux associés au fait de ne pas adopter l'informatique en nuage)? Quels sont les risques en matière de sécurité? Quelles ressources et données pourront être prises en charge sur le nuage? Parmi elles, lesquelles sont protégées par une loi, une réglementation, un contrat ou une politique? Comment devons-nous adapter nos programmes de sécurité et de conformité actuels pour prendre en compte les risques de sécurité liés au nuage? Quels contrôles, politiques, architectures et technologies devons-nous créer, ajouter ou modifier? Dans le cadre d'une stratégie de gouvernance, gestion des risques et conformité de nuage, les réponses à ces questions vous aideront à développer un Système de gestion de la sécurité de l'information (ISMS) pour votre architecture infonuagique. Le concept ISMS est tiré de la norme internationale ISO/IEC 27001 relative à la sécurité des informations. Il permet d'améliorer et de gérer la sécurité de manière minutieuse. Un ISMS de nuage comprend des politiques, des processus, des opérations d'évaluation et de prise en charge des risques, des contrôles de sécurité et des indicateurs permettant d'évaluer l'efficacité du système. Un tel système doit devenir l'un des éléments clés de votre stratégie infonuagique et du plan de votre architecture technologique. Conception d'un système de gestion de la sécurité de l'information pour le nuage Pour beaucoup d'entreprises, le nuage a mis la gestion de la sécurité des informations au centre des préoccupations. Cependant, pour les entreprises peinant à définir et structurer leurs stratégies de sécurité et attachées aux solutions des TI classiques, la sécurisation d'une architecture infonuagique peut paraître impossible. De nombreuses entreprises ne disposent pas d'un bon ISMS et éprouvent des difficultés à mettre en place la gouvernance, la gestion des risques et la conformité nécessaires à une sécurité des TI efficace. La conception d'un ISMS est une tâche complexe. Les programmes de sécurité sont de grande envergure. Ils couvrent les politiques de sécurité des informations, la sécurité de l'entreprise, la classification et le contrôle des ressources, la sécurité du personnel, la protection physique, la sécurité de l'environnement, les communications, les opérations, les contrôles d'accès, la maintenance et le développement des systèmes, et la conformité. Souvent, les entreprises disposent de plusieurs systèmes de gestion de la sécurité des informations, conçus au fil de temps et de contrôles de sécurité définis au coup par coup. Souvent, ces systèmes ont des lacunes : ils ne couvrent pas toutes les ressources, ne disposent pas de plan pour la continuité des opérations, ne prennent pas en charge la sécurité physique et n'alignent pas les contrôles sur les ressources humaines. Actuellement, il n'existe pas de norme ou de cadre de conformité spécifique à la sécurité du nuage. Cependant, certaines entreprises ont commencé à développer des meilleures pratiques. D'autres ont décidé d'appliquer les normes de sécurité existantes au nuage, considéré comme une extension de leur environnement de TI. La norme internationale sur la gestion de la sécurité des informations, ISO/IEC 27001, peut également s'appliquer au nuage. Les entreprises peuvent obtenir une certification ISO/IEC 27001 pour prouver de manière objective l'efficacité de leur système ISMS. En effet, cette norme est une vérification objective permettant aux entreprises de démontrer à leurs auditeurs, partenaires et clients qu'ils prennent la sécurité au sérieux. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 3

Bien que la norme ISO/IEC 27001 ne soit pas le seul cadre de gouvernance de sécurité, elle est réputée au niveau international et fournit ainsi une crédibilité supplémentaire. Elle définit le fonctionnement d'un ISMS efficace permettant la planification, la mise en œuvre, la gestion et l'amélioration continue des opérations de sécurité des informations. Basé sur la gestion des risques et sur des indicateurs, un ISMS conforme à la norme ISO/IEC 27001 protège les utilisateurs, les ressources et les données d'une entreprise. La norme ISO/IEC 27001 définit un système de gestion des processus et un ensemble complet de contrôles de sécurité des TI concernant divers domaines et objectifs. Les contrôles opérationnels compris dans la norme ISO/IEC 27001 sont décrits en détail dans la norme ISO/IEC 27002, qui contient également des conseils pour leur la mise en œuvre. Ces deux normes font partie de l'ensemble ISO/ IEC 27000 qui rassemble les pratiques de sécurité des informations. La définition, la structure et les contrôles pour les ISMS compris dans la norme ISO/IEC 27001 sont applicables aux environnements infonuagiques et permettent aux entreprises de formuler des objectifs stratégiques, d'évaluer les risques, de mettre en place des contrôles et de mesurer leur efficacité d'une manière systématique et souvent transformationnelle. L'obtention d'une certification ISO/IEC 27001 officielle demande un investissement intensif sur le long terme. C'est pourquoi de nombreuses entreprises décident de certifier uniquement les composants critiques ou ceux demandant une vérification de sécurité objective. Ces dernières adoptent généralement les principes de la norme en tant que meilleures pratiques pour guider leurs opérations de sécurité. Lors du déploiement d'un environnement infonuagique, il peut être très avantageux de créer un ISMS basé sur la norme ISO/IEC 27001 pour gérer la sécurité et les risques. Certaines applications infonuagiques critiques peuvent faire l'objet d'audits officiels et de certification basés sur cette norme. Implémentation de votre programme de gouvernance, de gestion des risques et de conformité pour le nuage Bien que la norme ISO/IEC 27001 soit un très bon cadre pour la gestion de la sécurité des informations, la gouvernance d'un nuage ne doit pas uniquement couvrir les failles et les menaces de sécurité. Elle doit également prendre en compte la valeur commerciale que la sécurité apporte à l'environnement, y compris à quel point les opérations infonuagiques sécurisées contribuent à la profitabilité des prestations de service, à la génération de revenus, à la productivité interne et à l'image de l'entreprise. Ces aspects du nuage doivent être gérés et évalués dans le cadre d'un portefeuille de sécurité correspondant étroitement aux autres objectifs et investissements commerciaux. L'évaluation des risques commerciaux et de sécurité dans le nuage est une tâche complexe. Tout d'abord, car les risques liés aux technologies infonuagiques et à leur déploiement sont nouveaux, et ensuite, car les techniques d'évaluation du secteur de la sécurité des TI ne se sont pas améliorées au cours des vingt dernières années; elles sont restées au stade de cartes de chaleur simples et de formules de base de prévisions des pertes. L'informatique en nuage, tout comme les infrastructures de TI classiques récentes, nécessite des processus de gestion des risques bien plus évolués. En outre, les environnements infonuagiques multilocataires contiennent de nombreuses ressources et informations utilisateur pouvant être uniques, et doivent respecter des exigences de conformité réglementaires, propres au secteur, légales et interdépendantes. Le nombre et la complexité de ces exigences rendent difficile leur la mise en œuvre dans les centres de données et dans le nuage. En tant qu'environnement multilocataire, le nuage nécessite des politiques, processus et contrôles adaptés aux exigences en matière de gouvernance et de conformité de tous les locataires. Les fournisseurs de nuages doivent donc identifier et traiter le nombre potentiellement important d'exigences de protection personnalisées, dont voici quelques exemples : La loi FISMA (Federal Information Security Management Act, loi sur la gestion de la sécurité des informations) La loi HIPAA (Health Insurance Portability and Accountability Act, loi portant entre autres sur la protection des données médicales) Les lois régionales et locales sur la notification des violations de données 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 4

La loi SOX (Sarbanes-Oxley Act) La directive européenne sur la confidentialité des données La norme PCI DSS (Payment Card Industry Data Security Standard, norme sur la sécurité des données pour les industries de carte de paiement) Les normes ISO/IEC 27000 CoBIT (Control Objectives for Information and related Technology, Objectifs de contrôle de l'information et des technologies associées) ITIL (Information Technology Infrastructure Library, Bibliothèque pour l'infrastructure des technologies de l'information) La norme d'audit SAS (Statement on Auditing Standards) No. 70 À qui revient la responsabilité de la protection des données au sein d'un environnement infonuagique? Aujourd'hui, cela n'est pas clairement défini. Cependant, les entreprises devraient être prêtes à démontrer qu'elles protègent leurs données pour éviter d'avoir à faire face à des problèmes juridiques ou de renvoyer une mauvaise image. En comprenant ce qui est permis ou interdit par une réglementation et en sachant quels contrôles et processus sont concernés, les entreprises peuvent traiter la conformité sur tous les plans : des contrats avec les fournisseurs de service, aux réponses aux incidents, en passant par les processus de reprise sur sinistre. Comme le montrent les incidents récents très médiatisés, la garantie de conformité sur papier délivrée suite à un audit ne garantit pas nécessairement une sécurité opérationnelle. Les entreprises seront d'autant plus examinées si des problèmes de sécurité se produisent dans des systèmes présentés comme correctement gérés et protégés. La mise en place d'un programme GRC pour les TI peut apporter d'importants bénéfices à une entreprise. Le rapport annuel de l'organisme IT Policy Compliance Group a démontré que les programmes GRC pour les TI généraient d'importants profits commerciaux : Augmentation de 17 % du chiffre d'affaires Augmentation de 14 % des profits Réduction de 50 % des coûts associés aux audits Réduction de 96 % des frais associés à la perte de données client Réduction significative du nombre d'interruptions des opérations Augmentation de 18 % de la fidélisation des clients Les Services de nuage Cisco vous aident à aborder la sécurité comme s'il s'agissait d'un processus commercial : développement de stratégies de gestion et de gouvernance, évaluation des risques, respect des réglementations pour les audits et au niveau opérationnel, et mesure de l'efficacité du programme de sécurité. Ces services sont là pour vous aider à faire face à vos défis liés à la sécurité du nuage. De la prise en charge de la gouvernance et de la conformité à l'évaluation des risques et des coûts, en passant par les tests techniques des architectures de sécurité réseau, les experts Cisco peuvent vous aider à : définir une stratégie de sécurité infonuagique solide alignée sur les objectifs commerciaux, concevoir un système ISMS efficace vous permettant de planifier, de mettre en place et d'améliorer la sécurité du nuage, évaluer les risques de manière minutieuse (analyse de scénario et approche probabiliste des risques pour la sécurité infonuagique et les risques commerciaux), créer un cadre de contrôle commun (agrémenté du Cadre de contrôle de sécurité Cisco) afin d'identifier les contrôles requis par différentes réglementations et de les réunir au sein d'un cadre de contrôle unique. Une approche similaire a été recommandée par Cloud Security Alliance. (voir figure 2) 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 5

Figure 2. Mapping the nuage Model to the Security Control and Compliance Model (Adapter le modèle de nuage au modèle de conformité et de contrôle de sécurité), Cloud Security Alliance, 2009 Source : Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (Conseils en matière de sécurité sur des points spécifiques à l'informatique en nuage, version 2.1) Cloud Security Alliance, 2009 Évaluation des exigences en matière de sécurité applicables à votre centre de données et au nuage Étant donné que les problématiques de sécurité sont propres à chaque entreprise, les Services de nuage Cisco commencent par une analyse stratégique de la sécurité du nuage. Cela aide les entreprises à : résoudre les problèmes de sécurité liés au nuage multilocataire lors du rassemblement au sein du nuage d'activités auparavant isolées, gérer et contrôler la sécurité des données lorsqu'elles sont transférées dans le nuage à travers diverses ressources réseaux, informatiques et de stockage, évaluer si la sécurité d'une application, de données ou d'un service est adaptée au nuage et identifier les fournisseurs pouvant respecter les exigences de l'entreprise en matière de sécurité. Dans le secteur public, les Services Cisco permettent de respecter les exigences en matière de sécurité : contrôler et protéger les données par un accès basé sur les rôles et d'autres contrôles; garantir la conformité aux audits et autres tests; isoler les données de prestation de services et de processus; conserver une visibilité sur l'infrastructure dans les environnements infonuagiques multilocataires malgré l'abstraction. Les Services Cisco permettent aux fournisseurs de service d'offrir des contrôles de sécurité dans le nuage identiques à ceux de l'entreprise, notamment des contrôles de sécurité à la demande pour les utilisateurs. Ils permettent d'isoler les données, de sécuriser les processus et les prestations de service et de conserver une visibilité sur l'infrastructure dans les environnements nuage multilocataires malgré l'abstraction. (voir figure 3) 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 6

Figure 3. Approche de Cisco en matière de sécurité infonuagique Évaluation de la sécurité et de l'architecture technologique Les Services de nuage Cisco se basent sur une évaluation de la stratégie et des risques de votre architecture actuelle (réseau, stockage et informatique), de vos applications et services, et de votre processus de migration vers le nuage. Ces évaluations permettent de recueillir des informations sur : les offres de service ayant un impact sur les décisions relatives à la technologie et à l'architecture de sécurité, la sécurité de bout en bout, l'informatique et la virtualisation des serveurs, le stockage, le réseau (couches 2 et 3), les services réseau (couches 4 à 7), le raccordement du centre de données, la modélisation de l'évolutivité. Cisco offre plusieurs fonctionnalités GRC pour les TI pour vous aider à créer et à déployer l'architecture de votre nuage sur les plans stratégique, opérationnel et réglementaire. Cisco peut vous aider à créer une stratégie de sécurité pour le nuage alignée avec vos exigences commerciales. Une telle stratégie permet également de développer des modèles de risques spécifiques et d'évaluer les politiques et contrôles dans le cadre du Système de gestion de la sécurité de l'information (ISMS) du nuage afin d'apporter des informations stratégiques et de la valeur ajoutée au déploiement du nuage. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 7

Développement d'un cadre de contrôle de sécurité généralisé pour le nuage Cisco a également développé un cadre de contrôle de sécurité (SCF, Security Control Framework) pour aider les entreprises à structurer, à concevoir et à mettre en place des systèmes sécurisés. Le SCF Cisco présente deux bénéfices majeurs : Visibilité totale : afin de savoir quoi contrôler et de mesurer l'efficacité des contrôles, une entreprise doit disposer d'une visibilité totale sur les utilisateurs, les services et les ressources déployés sur chaque réseau. Contrôle actif : une entreprise doit pouvoir contrôler les communications, l'utilisation des ressources et les activités des utilisateurs, périphériques et services déployés sur chaque réseau. L'architecture de sécurité de votre nuage doit fournir une visibilité totale et permettre un contrôle actif. Dans le nuage, la visibilité est réduite en raison de l'abstraction et du partage. Une visibilité totale permet d'attribuer la confiance en fonction de l'identité et du niveau d'autorisation, et d'utiliser une surveillance continue et les corrélations d'événements pour identifier les activités et comportements malveillants. Un contrôle actif du nuage dote l'infrastructure d'une haute disponibilité et d'une résilience en cas de pannes du système. Un contrôle actif de l'isolation des données, de la prévention de la perte de données, des politiques de conservation des données, du provisionnement et des prestations de service contribue à la protection des utilisateurs et permet de respecter les accords sur les niveaux de service du nuage. La figure 4 illustre les points clés qui forment le cadre de sécurité de Cisco. Figure 4. Cadre de sécurité généralisé Cisco 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 8

La visibilité totale comprend trois éléments. L'identité et la confiance représentent la capacité du système à identifier les entités qui accèdent à une ressource donnée (par exemple le trafic entrant d'un réseau), et à leur attribuer un niveau de confiance. Le niveau de confiance peut être établi en examinant les informations de connexion ou par d'autres moyens. Dans un réseau avec reconnaissance de l'identité, l'authentification par accès unique permet d'utiliser des contrôles basés sur les politiques de sécurité et de surveiller l'activité des utilisateurs connectés (que ce soit à l'intérieur ou à l'extérieur du pare-feu de l'entreprise), mais aussi les fichiers partagés, les bases de données et les applications système. Le niveau de confiance est défini à la suite de l'inspection des informations de connexion et des adresses IP. Les données sont sécurisées tout au long de leur cheminement dans le réseau. La surveillance permet de contrôler le comportement et l'utilisation du réseau, notamment des ressources, des systèmes connectés, des utilisateurs, des applications et du trafic IP. Il fournit les outils essentiels à la visibilité de la sécurité. Le fait que la surveillance et la gestion soient effectuées à partir d'un tableau de bord de sécurité unique et central permet de contrôler la configuration de la politique et fournit une visibilité en temps réel sur le réseau et les événements (ressources, systèmes connectés, utilisateurs, applications et trafic IP). La surveillance basée sur le comportement (détection des anomalies) et les technologies de détection basées sur les signatures sont essentielles pour détecter et déjouer les attaques. La corrélation consiste à interpréter, disséminer, analyser et classifier les données de visibilité afin qu'elles deviennent des informations opérationnelles utiles. Ceci est réalisé en examinant le contexte d'événements ou de modifications en apparence non liés. Pour la sécurité des opérations, cela fournit une base pour l'exécution des politiques et les contrôles d'isolation. La corrélation permet de transformer les données d'activité en informations utiles à l'aide du contexte des événements et des modifications. L'analyse continue des événements permet d'identifier rapidement les activités irrégulières et de faire correspondre des événements à des contrôles de politique. Le contrôle est composé de trois éléments : L'exécution consiste à imposer un comportement autorisé aux systèmes connectés, aux utilisateurs, aux applications et au trafic IP. L'exécution des politiques peut être statique (le contrôle est appliqué de manière permanente) ou dynamique (le contrôle est appliqué à un événement ou un incident de sécurité discret spécifique). Pour la communication entre les systèmes, le principe de séparation des privilèges s'applique. Cela signifie que les systèmes ne doivent être autorisés à communiquer que si la communication est nécessaire à l'exécution de leurs tâches. L'exécution des politiques est intégrée à l'infrastructure et permet l'application unifiée des meilleures pratiques sur l'ensemble de l'environnement. L'isolation consiste à placer certaines sections d'un réseau (ou d'un système) dans des zones de sécurité afin de contrôler (ou d'empêcher) l'accès d'une zone à l'autre et de limiter les possibilités d'atteintes à la sécurité. Cela permet de limiter l'effet des perturbations et leur impact sur les utilisateurs, les services et les systèmes. Ainsi, les locataires du nuage partagent les ressources de manière égale et les contrats de niveau de service sont respectés. En outre, il devient plus facile d'exécuter les politiques de manière homogène pour tous les utilisateurs, systèmes connectés, applications, trafic IP, terminaux et composants de mise en réseau. La résilience est ce qui permet à l'architecture de résister aux circonstances non contrôlées, mais aussi de s'adapter en conséquence et de récupérer. Pour réduire (ou durcir) les points vulnérables, il faut supprimer ou désactiver les éléments non essentiels : fonctionnalités, services, systèmes et composants de comptes. L'alignement de la surveillance (visibilité) et de la gestion (contrôle) des politiques de sécurité du nuage, notamment les politiques de conformité et de confidentialité, permet de créer une architecture de sécurité de nuage généralisée. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 9

Une sécurité généralisée s'applique uniformément, quel que soit l'emplacement des ressources réseau et des opérations. Pour le nuage, ce type de sécurité est mis en place sur l'ensemble de l'architecture. Il permet de garantir le respect des exigences techniques, commerciales et opérationnelles au sein de l'architecture pour le réseau, les services réseau, l'informatique, le stockage et les ressources de gestion. Étant donné que le nuage est un nouveau point d'entrée dans l'entreprise, son architecture de sécurité doit se trouver dans l'infrastructure réseau. Contrairement à une approche de la sécurité limitée au niveau périphériques ou au niveau applications, l'approche de Cisco englobe l'ensemble de l'architecture. La sécurité est intégrée à chaque niveau de l'architecture et tous les éléments de prestation de services en bénéficient. Ces fonctions fondamentales sont personnalisées en fonction de votre environnement et de vos mandats commerciaux. Migration sécurisée de vos applications vers le nuage Les risques et les problèmes de sécurité peuvent avoir un impact sur la transition entre le centre de données et la solution infonuagique. L'objectif de cette étape est de minimiser et d'éliminer ces risques de manière complète. Nous identifions les lacunes de l'architecture de votre centre de données (non nuagique) actuel qui doivent être comblées pour que la migration vers le nuage puisse se faire. Nous évaluons l'architecture de sécurité pour la mise à niveau d'un centre de données existant vers le nuage (friche) et pour un déploiement de nuage nouveau ou proposé (terrain vierge). Nous identifions également les ressources susceptibles d'être affectées par la transition programmée (données, applications, processus commerciaux, volumes de données et débits de transaction). Nous les évaluons ensuite au regard des risques de sécurité et de l'analyse des menaces. Nous examinons également des modèles de nuage potentiels et évaluons différents modèles de service infonuagique et fournisseurs de service au niveau de la sécurité. Nous étudions les modèles et les fournisseurs en fonction des éléments suivants : Contrôles de sécurité disponibles et techniques de limitation des risques (propriété, classification, gouvernance) Qualité de la découverte/de l'assignation en interne et en externe par une autre entité Contrôle de l'accès au chiffrement public et privé Dérivation, agrégation, intégrité Contrôles d'accès Chiffrement Contrôles et politiques concernant la conformité et les problématiques juridiques Politiques et procédure hors site et concernant les supports et la conservation des données Pour les flux de données entrant et sortant du nuage, nous mappons et évaluons les implications en matière de sécurité. Contrôles des technologies pour gérer l'architecture de sécurité du nuage Enfin, la gestion des technologies de l'architecture de sécurité du nuage exige la mise en place de contrôles des technologies. Ils permettent une sécurisation de bout en bout et protègent le système contre les infractions. L'évaluation des objectifs de votre entreprise, des exigences de croissance de l'architecture et des politiques de sécurité peut aider à identifier les problèmes de conformité et de sécurité, ainsi que les incidents antérieurs. Nous examinons et documentons les configurations, architectures, procédures et politiques de sécurité actuelles, et analysons les contrôles de sécurité effectués sur l'architecture du centre de données actuel. Les objectifs de ces opérations sont d'affiner les objectifs de contrôle de sécurité, d'identifier les contrôles manquants et d'évaluer les contrôles de surveillance et de création de rapports. Nous identifions les lacunes de sécurité de l'architecture actuelle et de l'architecture de nuage prévue, et tentons d'améliorer la sécurité générale en fournissant des recommandations détaillées pour la configuration des appareils. 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 10

Conclusion En matière de sécurité, l'informatique en nuage présente à la fois des avantages et des risques. L'homogénéité du nuage facilite les tests/audits de sécurité, ce qui peut aider les entreprises à démontrer qu'elles respectent les exigences légales et réglementaires. Le nuage permet d'automatiser la gestion de la sécurité, ce qui aide à garantir l'application cohérente et vérifiable des contrôles et politiques de sécurité. De plus, il peut fournir des services économiques de reprise sur sinistre et de redondance par l'intermédiaire d'infrastructures infonuagiques virtualisées. Étant donné que les entreprises ont conçu leurs systèmes, leur informatique et leurs ressources de stockage avant ou pendant le développement d'internet, elles doivent évaluer la sécurité stratégique de leurs infrastructures, politiques, contrôles et gouvernance actuels afin de s'assurer que les nouvelles exigences légales et réglementaires sont respectées et de s'aligner sur la tendance du secteur : travailler en mode infonuagique. Nous conseillons aux entreprises qui souhaitent déployer un environnement infonuagique de créer un Système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO/ IEC 27001 pour gérer la sécurité et les risques pour l'entreprise et le nuage. Les Services Cisco de nuage comprenant le produit GRC pour les TI fournissent un cadre pour mettre en place une architecture de sécurité robuste. Ils aident à garantir la conformité réglementaire et légale du système, et protègent et promeuvent la valeur ajoutée du nuage. Cette approche peut générer d'importants bénéfices commerciaux, tels que la diminution des perturbations et une meilleure protection et confidentialité des données. Après avoir développé votre stratégie pour l'alignement des politiques, des contrôles et de la gouvernance avec les objectifs commerciaux, le cadre de contrôle de sécurité (SCF) de Cisco peut faciliter la structuration, la conception et la mise en œuvre de systèmes sécurisés. Le SCF de Cisco fournit une visibilité totale sur les utilisateurs, les services et les ressources, ainsi qu'un contrôle actif des communications, de l'utilisation des ressources, et de l'activité des utilisateurs, des appareils, des services et des ressources, y compris dans le nuage. Ainsi, que vous souhaitiez mettre en place une surveillance continue et une corrélation des événements pour détecter les activités malveillantes, ou un contrôle actif de l'isolation des données et de la ségrégation des utilisateurs du nuage, le SCF de Cisco vous apporte les garanties dont vous avez besoin pour utiliser votre nuage en toute sécurité. Selon l'étude State of Enterprise Security Survey Global Data (Étude sur l'état de la sécurité dans les entreprises - Données globales) publiées par Network World en février 2010, les experts en sécurité de nuage sont rares. Il est donc conseillé de choisir un partenaire qui pourra vous aider à mettre en place une infrastructure infonuagique sécurisée. Votre partenaire doit disposer d'une expérience dans le domaine de la sécurité de nuage et d'un accès aux technologies d'infonuagique sous-jacentes, doit pouvoir communiquer les meilleures pratiques et les informations essentielles à votre entreprise et doit garantir une sécurité conforme aux prévisions. Que vous souhaitiez sécuriser vos informations, combler les lacunes d'infrastructures infonuagiques ou de centre de données, définir quels utilisateurs ont accès aux données et l'emplacement des données, ou savoir comment protéger la confidentialité d'un locataire, la meilleure solution est de concevoir une stratégie qui permette d'appliquer des politiques, une gouvernance, une conformité et une sécurité architecturale généralisée sur l'ensemble du réseau, de l'informatique et du stockage. Ainsi, le nuage vous permettra de générer de la valeur commerciale. Pour plus d'informations sur les Services de nuage, rendez-vous sur www.cisco.com/go/cloudenablement ou contactez un responsable de compte Cisco. Pour plus d'informations sur les produits ISMS et GRC pour les TI pour le nuage, rendez-vous sur www.cisco.com/en/us/products/ps10372/serv_home.html ou contactez un responsable de compte Cisco. Siège social pour les Amériques Cisco Systems, Inc. San Jose, Californie Siège social en Asie-Pacifique Cisco Systems (USA) Pte. Ltd Singapour Siège social en Europe Cisco Systems International BV Amsterdam, Pays-Bas Cisco compte plus de 200 agences à travers le monde. Les adresses, numéros de téléphone et numéros de fax sont répertoriés sur le site Web de Cisco, à l'adresse : www.cisco.com/go/offices. Cisco et le logo Cisco sont des marques déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Vous trouverez la liste des marques commerciales de Cisco sur la page Web www.cisco.com/go/trademarks. Les autres marques de commerce mentionnées dans le présent document sont la propriété de leurs détenteurs respectifs. L'utilisation du terme «partenaire» n'implique pas une relation de partenariat entre Cisco et une autre entreprise. (1005R) Imprimé aux États-Unis C11-649815-00 02/11 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back