Khaled BEN DRISS Directeur BU ingénierie Logicielle

Khaled BEN DRISS Directeur BU ingénierie Logicielle Khaled.bendriss@oxia-group.com Tunis le 30 avril 2013

Khaled BEN DRISS Ingénieur de l'ecole Centrale de Lyon (ECL 1991) Docteur de l'université Paris 6 ( P&MC 1994) Ancien Maître Assistant à l'ecole Polytechnique de Tunisie Directeur BU ingénierie Logicielle & Consultant Senior : Architecte de Système d'information Membre IEEE (Executive committee 2011-2012 du Tunisia section ) www.oxia-group.com Blog : http://net-progress.blogspot.com/ 2

Le groupe OXIA en bref Un leader des Systèmes d Information et du Nearshore au Maghreb : Date de création : 1998 Forme juridique : Société Anonyme Effectif : +250 personnes (fin 2012) 85% de l activité réalisée en dehors de la Tunisie Filiale à Paris Filiale à Alger Certification ISO 9001 version 2000 (AFAQ QUAL/2005/25140 ) depuis 8 ans Software Engineerin g Business Solutions IT Outsourcin g Manageme nt Consulting 3 3

Des projets menés dans plus de 20 pays Pays d intervention de OXIA: Tunisie, Algérie, Maroc, Libye, France, Cote d ivoire, Guinée, Cameroun, Gabon, Egypte, Portugal, OXIA se situe principalement à Tunis Burkina Faso, Sénégal, Ghana, et Alger et intervient au travers d un locaux dans les réseau de partenaires autres pays d Afrique. 4 4

OXIA Offre et vision globale Your Partner of choice Management Consulting Industrie et Distribution Nous avons développé une approche Business pragmatique de conseil en Supply Solutions Chain et un partenariat avec les Technologie solutions ERP leader du marché et infogérance Services Financiers Télécoms & Services Nous appuyons les acteurs régionaux dans leur croissance en les aidant à maîtriser leur processus et leur risques et en leur proposant des solutions métiers leader dans leur domaine. Conseil opérationnel et technologique pour appuyer un secteur en plein développement, Centres de services et infogérance Pour ses client Nearshore, OXIA offre des centres de services en ingénierie informatique et en infogérance à la pointe de la technologie selon des normes de services les plus strictes (24h/24 7j/7 ) 5

Quelques références Industrie Distribution Banking & Finance Telecom et services SITEX Nearshore 6

Sécurité dans le Cloud Computing : risques et approches M. Khaled BEN DRISS, Directeur BU Ingénierie Logicielle www.oxia-group.com Document interne V1-0-2 avril 2012

Objectif de la présentation Objectif visé Présentation des risques et des questions importantes à se poser avant de migrer vers le Cloud Proposer une démarche d analyse de risques et des outils pour évaluer l impact du Cloud Computing dans vos scénarios 8

N.B. Hypothèse Les présents ont une idée assez claire sur le cloud computing 9

Le révolutionnaire : IT = commodité Une transformation de l'industrie est en cours : La suprématie du web Browser Electricité Eau Construire votre solution PlugIn, souscrire & payer à l usage 10

Le révolutionnaire : IT = commodité Une transformation de l'industrie est en cours : La suprématie du web Browser Electricité Eau Applications métiers Construire votre solution PlugIn, souscrire & payer à l usage 11

IT as a Service Software as a Service Platform as a Service Infrastruc as a Service ture 12 Donner le pouvoir aux utilisateurs Développer/ déployer rapidement des applications Minimiser la gestion de l infrastructure

13 Le fournisseur Cloud L entreprise Le fournisseur Cloud L entreprise Le fournisseur Cloud L entreprise IaaS, PaaS, SaaS : qui maintient quoi?

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 14

Préoccupations majeures à l adoption du Cloud Sécurité des services 48% es concernant l'accès, localisation aux données, vie privée 42% Coûts variables et non prédictibles ervice non adéquats (disponibilité, performances, fiabilité) Augmente le risque pour l'activité commerciale on de perte de contrôle de l'it et des choix technologiques 34% 29% 26% 24% Source : Gartner - Understanding and Managing SaaS and Cloud-Computing Risks - Tom Scholtz Septembre 2010. 318 répondants 15

Ce qu il faut retenir Le cloud n apporte pas de grande nouveautés d un point de vue technologiqu e Le changement important se trouve dans le Business modèle qui tend vers un plus grand partage de ressources 16 Avec le cloud les frontières de confiance sont élargies vers les fournisseurs

Les risques en 3 catégories Les mêmes vieilles questions de sécurité? Autres problèmes de sécurité à cause de la virtualisation 17 Nouveaux problèmes de sécurité en relation avec le Cloud computing

Les mêmes vielles questions de sécurité? Perte de données Les temps d'arrêt Le Phishing L attaque des Mots de passe Les réseaux de zombies (botnets) et autres logiciels malveillants 18

sécurité de la virtualisation L Isolation Les Snapshots restauration de l'état Complexité Montée en charge Transience Durée de vie des données 19

Nouveaux problèmes de sécurité -> en relation avec le Cloud La responsabilité Absence de périmètre de sécurité claire Plus grande surface d'attaque Nouveaux Canaux latéraux Le manque de vérifiabilité conformité à la réglementation Sécurité des données 20

Qui a le contrôle 21 21

Absence de périmètre de sécurité claire Peu de contrôle sur l'emplacement physique ou sur le réseau des instances machines virtuelles dans le cloud L'accès au réseau doit être contrôlé pour chaque hôte. 22 22

Plus grande surface d'attaque Cloud Provider Your Network 23 23

Nouveaux Canaux latéraux Vous ne savez pas qui sont les machines virtuelles qui partagent la machine physique avec vous. Les attaquants peuvent placer leurs machines virtuelles sur votre machine physique. CPU cache de données Partage des ressources physiques incluent Prédiction de branchement CPU Cache d'instructions du processeur Dans le cas d un environnement avec un seul OS il est possible d extraire les clés cryptographiques avec ces attaques. 24 24

Le manque de vérifiabilité Seul le fournisseur de cloud possède un accès au trafic complet du réseau, des logs de l'hyperviseur, des données de machines physiques. Besoin d'auditabilité mutuelle Capacité du fournisseur de cloud pour auditer les machines virtuelles clientes potentiellement malveillants ou infectés. Capacité du client du cloud de vérifier l environnement du fournisseur de cloud. 25

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 26

Les deux organisations de référence https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/ 27

Les deux organisations de référence ENISA est un centre d excellence pour les membres de l union Européenne et les institutions européennes sur la sécurité réseau et de l information, émettant des avis et recommandations et jouant le rôle de relais d information pour les bonnes pratiques. De plus, l agence facilite les contacts entre les institutions européennes, les http://www.enisa.europa.eu/ états membres et les acteurs privés du monde des affaires et de l industrie. 28

Les deux organisations de référence La CSA est une organisation pilotée par ses membres, chargée de promouvoir l utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l informatique dans le Cloud. On retrouve parmi ses membres, https://cloudsecurityalliance.org/ Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, ebay, Hitachi 29

Les deux documents de références https://cloudsecurityalliance.org/guidance/csaguide.v3. 0.pdf http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputing-risk-assessment/at_download/fullreport 30

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 31

La sécurité dans le cloud & la notion d économie d échelle Les mesures de sécurité sont moins onéreuses lorsqu elles sont mise en œuvre à plus grande échelle (par exemple, le filtrage, la gestion des correctifs, le durcissement de instances de machines virtuelles et les hyperviseurs, etc) 32

Les risques selon ENISA European Network and Information Security Agency (ENISA) : Chef de file des travaux sur la sécurité en Europe, L ENISA a publié plusieurs documents pour guider une adoption sécurisée de l informatique en nuage dont : Cloud Computing: Benefits, Risks and Recommendations for Information Security. Publié en novembre 2009, ce rapport permet une évaluation avisée des risques de sécurité et des avantages de l informatique en nuage. http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullreport 33

Les risques selon ENISA L'évaluation des risques de l'enisa du cloud computing Au moins ces scénarios choisis: Migration pour les PME Gouvernement Analyse des risques (actifs, les vulnérabilités, Menaces) Recommandations Utilisation du framemork de l'enisa et des risques émergents Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA) 34

Processus d évaluation de risque Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA) 35

Les risques selon ENISA Focus sur les 8 risques considérés comme les plus critiques selon la matrice Méthode de classification des risques ISO/IEC 27005:2008 Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA) 36

Les 8 risques majeurs Risques politiques et organisationnels R.2 : PERTE DE GOUVERNANCE R.3 : DEFIS LIES A LA CONFORMITE Risques Techniques R.9 : R.10 R.11 R.14 DEFAUT D ISOLATION : UTILISATION MALICIEUSE INTERNE AU FOURNISSEUR : COMPROMISSION DE L INTERFACE DE GESTION : INEFFICACITE DE LA SUPPRESSION DES DONNEES Risques Légaux R.22 : RISQUES LIES AUX CHANGEMENTS DE JURIDICTIONS R.23 : RISQUES LIES A LA PROTECTION DES DONNEES Risques non-spécifiques au Cloud R.26 : ADMINISTRATION RESEAU 37

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 38

Cloud Controls Matrix du CSA ( CCM du CSA) Cloud Security Alliance (CSA) propose la Cloud Controls Matrix(CCM): conçue pour apporter des principes de sécurité fondamentale de manière à guider les fournisseurs de Clouds et à assister les futurs clients du Cloud dans l évaluation du risque de sécurité général d un fournisseur. Critères de choix du fournisseur de Cloud Pas uniquement orienté analyse de risque Concentré sur le sujet «Sécurité du Cloud» 39

Cloud Controls Matrix CSA La CCM propose un framework de contrôles qui détaille les concepts et les principes de sécurité en ligne avec les conseils de la CSA dans ces domaines Approche globale versus NIST (US) et ENISA (Europe) 40 Conformité Gouvernance des données Sécurité des installations Ressources humaines Sécurité de l information Juridique Gestion des opérations Gestion du risque Gestion du changement Continuité de l activité Architecture de sécurité

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 41

démarche d analyse de risques pour le Cloud en 5 étapes 1 Evaluation de la tolérance Evaluation globale à l entreprise sur les 15 domaines de la Cloud Security Alliance au risque de l entreprise 2 Evaluation des risques Evaluation focalisée sur la solution Cloud cible sur les pour la solution Cloud 15 domaines de la Cloud Security Alliance 3 Mise en évidence des risques acceptables et des Comparaison des risques risques à atténuer par comparaison entre la tolérance de la solution vs tolérance et l exposition au risque de la solution 4 Définition de stratégieselaboration des contre-mesures sur les risques à atténuer d atténuation 5 Evaluation des risques Evaluation des risques résiduels après atténuation résiduels 42

Exposition, impact et probabilité d occurrence Impact High Exposition Exposition au Likely Catastrophic risque = Damage to the Business Probabilité*ImpactLikely Net Loss to the Business Medium Low Likely No Realization of Business Objectives Likely Partial Realization of Business Objectives Likely Full Realization of Business Objectives Low Medium 43 L Exposition est évaluée par son effet sur le business High Probabilité

Domaines Risques Cloud & Tolérance Enterprise Risk Tolerance Governance Business Cloud Risk Control Area Reputation & Brand Organizational Readiness Governance & Enterprise Risk Management Legal Issues : Contracts and Electronic Discovery Compliance and Audit Management Technical Interoperability and Portability Application Security Encryption and Key Management Tolerate Catastrophic Damage to the Business Tolerate Net Loss to the Business Tolerate No Realization of Business Objectives Tolerate Partial Realization of Business Objectives Identity and Access Management Virtualization Tolerate Only Full Realization of Objectives Security as a Service Operations Cloud Security Alliance Domains Information Management & Data Security Tolerance Data Center Operations Traditional Security, Business Continuity & Disaster Recovery Incident Response 44

Evaluation tolérance au risque 1 Evaluation de la tolérance Evaluation globale à l entreprise sur les 15 domaines de la Cloud Security Alliance au risque de l entreprise Completer le tableau enterprise tolerance 45

Questionnaire Sécurité : Pourquoi, pour qui? Evaluer le risque selon les 15 domaines de la CSA Ciblé pour le service ou l application à faire héberger sur le Cloud Concerne le RSSI il s agit d un questionnaire sécurité! ET le responsable/architecte du service Qui connait le design de l application RSSI et le responsable de l application sauront évaluer et proposer les contre-mesures pour le traitement du risque 46

Evaluation des risques de la solution 2 Evaluation focalisée sur la «solution Cloud Evaluation des risques cible» sur les 15 domaines de la Cloud pour la solution Cloud Security Alliance Completer le questionnaire du domaine 1 Au domaine 15 Pour les questions hors-contexte (Non-Applicable), la réponse sera «Very Low» 47

Comparaison Exposition vs Tolérance (1/2) 3 Mise en évidence des risques acceptables et des risques à atténuer par comparaison Comparaison des risques de la solution vs tolérance entre la tolérance et l exposition au risque de la solution Mise en évidence des Risques a traiter 48

Comparaison Exposition vs Tolérance (2/2) 3 Mise en évidence des risques acceptables et des risques à atténuer par comparaison Comparaison des risques de la solution vs tolérance entre la tolérance et l exposition au risque de la solution Tolérance au risque Exposition au risque 49

Le traitement du risque : Stratégies d atténuation 4 Elaboration des contre-mesures sur les Définition de stratégies d atténuation risques à atténuer Identifier les items «fautifs» Chaque domaine «risqué» doit être examiné pour identifier le ou les items «fautifs» et définir une stratégie 50 d atténuation

Stratégie de traitement du risque Transfert du risque Transfert du risque vers le fournisseur Service Level Agreement, pénalités Assurance Réduction du risque Détermination de contremesures par exemple : Choix du fournisseur, ajout de contrôles, modification d architecture, organisation, hébergement multifournisseurs (dsiponibilité) Evitement du risque Choix de ne pas déployer le service dans le Cloud Choix d un modèle de déploiement (ex Cloud privé/hybride) Acceptation du risque L entreprise décide de tolérer le risque pour l hébergement de cette solution dans le Cloud 51

Risques résiduels 5 Evaluation des risques résiduels après Evaluation des risques atténuation résiduels Identifier les risques résiduels Certains risques pourront être acceptés 52

Plan Plan de la présentation Les problématiques de la sécurité dans le cloud Les deux organismes à connaitre CSA & ENISA Les risques majeurs vue par l ENISA La Cloud Controls Matrix vue par le CSA Une démarche en 5 étapes Synthèse 53

Synthèse & Recommandations La sécurité dans le Cloud Computing nécessite une démarche systémique et globale Les travaux des organismes NIST, CSA, ENISA sur le sujet Cloud & Sécurité sont disponibles Pour les RSSI : des approches d analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud. Evaluez le fournisseur en fonction des contrôles de la matrice de la Cloud Security Alliance Utiliser la norme ISO 27001 comme une première garantie sur une prise en compte sérieuse de la sécurité par le fournisseur 54

Besoin de framework commun pour la sécurité du Cloud ENIS & CSA sont relativement récents et n ont pas encore reçu une reconnaissance générale. Il s agit soit d études initiales dans le but de proposer un point de départ à un travail plus formel. Le champ d étude et de recherche dans le domaine est encore ouvert 55

Références -Guide ENISA http:// www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_downloa -Guide CSA https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf -Cloud Controls Matrix CSA https://cloudsecurityalliance.org/ -Data Governance - Moving to Cloud Computing (Microsoft White Paper/ Trustworthy Computing) http://www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&id=6098 -Livre «Securing the Cloud» de Vic Winkler chez Syngress -Cloud & Sécurité : Quels risques et quelles sont les questions importantes à se poser avant de migrer vers le Cloud? Jean-Yves GRASSET et Christophe VALLEE de Microsoft France aux techdays 2012 fev 2012 -Cloud & Sécurité : une approche pragmatique pour les RSSI, Jean-Yves Grasset, CISSP, CCSK, Stanislas Quastana, CISSP, CCSK, Microsoft France aux techdays 2012 fev 2012 56

Khaled BEN DRISS Directeur Associé Tel : +216 71 28 27 00 Mob.: +216 25 23 45 30 11 rue Claude Bernard 1002 Le Belvédère Tunis, Tunisia Tél : +216 71 28 27 00 Fax : +216 71 28 27 05 www.oxia-group.com