L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1

Contenu de la conférence 1. Les concepts 2. Les impacts 3. Les risques 4. La maitrise des risques La mention des produits, des services ou des compagnies dans ce document ne doit pas être interprétée comme étant une recommandation ou une promotion. 2

Qui suis-je? Tactika inc. Services conseils Architecture : sécurité, réseautique et technologique Audit Gestion des risques Une trentaine d années d expérience Certifications : CISSP, CISA et autres lettres de l alphabet Intérêt et utilisation du Cloud depuis 2008 3

Le Cloud est-il incontournable? Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable Les TI seront profondément transformées dans les années à venir à vrai dire c est déjà commencé! 4

Qu est-ce que l infonuagique? L infonuagique est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation Libre service et sur demande Élastique, extensible (scalable) Accessible par un réseau de type TCP/IP (i*net) Partagé, multilocataire (multi-tenant) Utilisation mesurée ( éventuellement facturée ) Niveau de service déterminé (entente de service / SLA ) Analogie entre les TI et l électrification Les services TI deviennent une commodité 5

Le modèle de l infonuagique vs le modèle traditionnel Modèle traditionnel Nuage Organisation Organisation Individu Organisation 6

Différence entre l infonuagique et l impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Client Infonuagique Partagé, multilocataire Même entente de service /SLA pour tous Fournisseur 7

Le marché Gros joueurs du marché 8

Modèles de prestation de services IaaS Infrastructure as a Service Service de traitement (CPU), de stockage ou réseautique Ex. Système d exploitation Windows Server 200X, Espace disque PaaS Platform as a Service Service de plates-formes applicatives avec des fonctions programmables, paramétrables, configurables Ex. Sharepoint SaaS Software as a Service Service as a Service Service d applications, Services horizontaux tel que la facturation, surveillance, sécurité, etc. Ex. CRM (software), antivirus (service) Software (Application) Plate - forme Plate - forme Infrastructure Infrastructure Infrastructure IaaS P aas SaaS 9

Modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation Cloud public Cloud privé Cloud de communauté 10

Acteurs dans le modèle de prestation de services Interface de gestion Client / opérateur Client / utilisateur Objet du client Objet du client Plate-forme Software (Application) Plate-forme Fournisseur Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS Opérateur 11

Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur Opérateur 12

Impacts de l infonuagique dans une organisation Selon l envergure de l utilisation/intégration dans vos services TI de l infonuagique, les impacts porteront sur : 13

Impacts sur les ressources humaines Assignation des ressources sur la mission de l organisation Déplacement du savoir-faire Expertise + Architecture - Opération + Gestion contractuelle 14

Impacts sur les processus Agilité et gestion simplifiée Gestion contractuelle des tiers Gestion des risques Gestion de la sécurité Gestion des TI (ITIL) Disponibilité, capacité, changement, incidents, etc 15

Impacts sur la technologie Coût CTP (Coût Total de Possession/TCO) est réputé moindre que le modèle traditionnel (Nuage public) Retour sur l investissement / ROI rapide et tangible (Nuage public) Élasticité, extensibilité Éléments architecturaux Contrôle d accès Gestion des identités et des habilitations Gestion des vulnérabilités Gestion des intrusions 16

En résumé Rôle de l organisation Nuage public Consommateur Nuage privé Consommateur Fournisseur Nuage hybride Nuage communautaire Modèle de déploiement Iaas,Paas,Saas Iaas,Paas,Saas CAPEX/capital expenture OPEX/operational expenture Impacts sur les processus Agilité Risque Peu Moyen Élevé 17

La perception du risque et le Cloud En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Les bénéfices du Cloud sont une opportunité. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d opportunités. En sécurité de l information, le risque est perçu comme une menace qui exploite une vulnérabilité. Les problèmes du Cloud : Les risques d un tiers peuvent devenir mes risques... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés». 18

Modèle générique du risque Surface d attaque Probabilité Menace(s) Mesure(s) de contrôle RISQUE Vulnérabilité(s) Impact(s) Disponibilité Intégrité Confidentialité 19

Principales vulnérabilités Conformité Aspect juridique Multiples législations Géolocalisation des données Maturité de l organisation Gouvernance absente ou relâchée, état du SMSI (Système de management de la sécurité) Entente de service/sla Mal définie, incomplète Votre infrastructure Des composants et de la gestion de ces composants Infrastructure du tiers Des composants et de la gestion de ces composants Format propriétaire et/ou lié à l infrastructure du fournisseur (Verrouillage/lock-in) Difficulté d enquête (forensique) en cas d incident Dysfonctionnement de la communication entre les SMSI (le vôtre et celui du tiers) Gestion des changements, gestion des incidents Pérennité du tiers Maturité du tiers Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) 20

Surfaces d attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d accès Client Fournisseur SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel IaaS : couche système d exploitation / logiciel Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail 21

Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute sur l authentification Changement non annoncé ou non planifié Code malveillant, Attaque brute sur l authentification, Attaque sur l hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning 22

Principales mesures de contrôle pour la sécurité de l infrastructure Anti-virus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d accès authentification (forte), réseau Détection des intrusions Contrôle d accès physique de l infrastructure Contrôle d accès authentification (forte), réseau Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, anti-virus, anti logiciel-espion, IDS/IPS Contrôle d accès : authentification (forte) & réseau Détection des intrusions, journalisation Anti-virus, anti-logiciel espion, correctifs 23

Autres mesures de contrôle Définition dans l entente de service/sla des éléments de sécurité Acceptation implicite des risques! Sensibilisation et formation des utilisateurs Audit (vous et le fournisseur/tiers) Test d intrusion (limité par le SLA et le modèle de prestation) Relève, redondance (vous versus le tiers) Surveillance (monitoring) 24

Incidents Quelques cas réels Disponibilité Octobre 2013 Panne mondiale (environ 20 hres) chez Microsoft Azure http://sourcedigit.com/1794-top-ten-cloud-computing-outages-in-2013/ Confidentialité Juin 2013 Facebook annonce que depuis 2012 qu un problème technique a potentiellement exposé des informations personnelles de 6 millions d utilisateurs http://www.reuters.com/article/2013/06/21/net-us-facebook-security-idusbre95k18y20130621 Intégrité Février 2010 52 sites web du congrès étasunien ont subi une défiguration, ces sites étaient hébergés dans le Cloud par un contractant à l insu du client http://www.theaeonsolution.com/security/?p=207 25

Facteurs de risque Selon son degré d intégration dans les services TI, l infonuagique peut devenir un facteur de risque envers : La mission d affaires La GRC (gouvernance, risque, conformité) La prestation de services TI Vos données Le degré d intégration désigne l envergure, l étendue et la criticité du service Cloud. Service de mesure de disponibilité de sites Web (intégration faible, impact léger) Service Web en arrière boutique (intégration élevée, impact important) 26

Comment maitriser le risque Alignement sur les bonnes pratiques ISO/IEC 27017 (en développement) Information technology -- Security techniques -- Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 ISO/IEC 27001/2 - Code de pratique et processus d un SMSI ISO/IEC 27005 - Gestion du risque ITIL v3 - Gestion des TI ITIL : Information Technology Infrastructure Library pour «Bibliothèque pour l'infrastructure des technologies de l'information») SMSI : Système de Management de la Sécurité de l Information selon ISO27002 27

SMSI et les tiers Le fournisseur doit être considéré comme un tiers. Son SMSI doit communiquer avec votre SMSI. Clauses ISO27002 spécifiques aux tiers 6.2. Tiers Identification des risques provenant des tiers La sécurité et les clients La sécurité dans les accords conclus avec des tiers 10.2. Gestion de la prestation de services par un tiers Prestation de services Surveillance et réexamen des services tiers Gestion des modifications dans les services tiers 28

«Chaîne» des tiers Client SaaS Fournisseur Software (Application) Client Plate-forme Infrastructure Fournisseur IaaS How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=feed%3a+techcrunch+%28techcrunch%29 29

Vue* processus du SMSI Gestion des risques Gestion des vulnérabilités Détection des intrusions Gestion des incidents * partielle, sécurité et ITIL SMSI Gestion des identités et des habilitations Gestion des accès Audit Gestion des configurations Gestion des mises en production Gestion des tiers 30

Lien entre les SMSI 31

Pense-bête pour contrôler les risques de l infonuagique Appliquer les bonnes pratiques de sécurité selon votre contexte!!! Mettre à jour votre cadre de sécurité pour inclure le Cloud Déterminer vos besoins Déterminer un niveau de service Analyser les aspects légaux PRP, localisation des données (autre pays?) Cycle de vie des données Destruction des données Catégoriser vos données, évaluer la criticité du service Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées! Choisir le fournisseur comprendre l entente de service/sla, pérennité, état de son SMSI Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre!) Tenir compte de la localisation du désastre Avez-vous une copie de vos données qui sont chez le fournisseur? Surveiller et journaliser Audit Assurer la détection et le suivi des incidents de sécurité communication, collecte de preuve, enquête Documenter l architecture(s) Documenter documenter documenter 32

Questions? Merci de votre attention! www.tactika.com @tactika http://ca.linkedin.com/in/tactika