13
Gouvernance et sécurité dans le Cloud Computing : avantages et défis Yves LE ROUX CISSP CISM Principal Consultant [email protected]
| Date post: | 14-Jun-2015 |
| Category: |
Documents |
| Upload: | cloudacademy |
| View: | 986 times |
| Download: | 0 times |
Gouvernance et sécurité dans le Cloud Computing : avantages et défis
Yves LE ROUXCISSP CISMPrincipal Consultant
Modèles de service
2 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
IaaS
Modèle du National Institute of Standards and Technology
3
Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
3
CommunityCloud
Private Cloud
Public Cloud
Hybrid Clouds
Modèles de déploiement
Modèle de service
Caractéristiquesessentielles
Caractéristiquescommunes
Software as a Service (SaaS)
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS)
Resource Pooling
Broad Network Access Rapid Elasticity
Measured Service
On Demand Self-Service
Low Cost Software
Virtualization Service Orientation
Advanced Security
Homogeneity
Massive Scale Resilient Computing
Geographic Distribution
Qui contrôle quoi ?
4 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Domaines critiques à étudier pour la gouvernance> Choc culturel - Résistance au changement> Gestion des risques de l’entreprise> Problèmes légaux
Fuites de données Accès aux données par les organismes gouvernementaux Protection de la vie privée
> Mise en conformité et audit> Gestion du cycle de vie de l’information
Création, identification, stockage, utilisation, partage, archivage et destruction
Définition des responsabilités > Portabilité et interopérabilité
5 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Domaines critiques à étudier pour la sécurité
> Plan de continuité et de reprise d’activités
> Opérations du ou des centre(s) informatique(s)
> Réponse, notifications et traitement des incidents
> Sécurité des applications
> Chiffrement et gestion des clés
> Identités et contrôle d’accès
> Technologie de virtualisation
6 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les avantages du Cloud Computing du point de vue sécurité & gouvernance (1/2)
> Possibilité de mettre les données publiques dans un Cloud et de mieux protéger les données sensibles
> Fragmentation et dispersion des données
> Equipe de sécurité dédiée
> Plus grand investissement dans l’infrastructure de sécurité
> Tolérance aux fautes et fiabilité améliorées
> Meilleure réaction aux attaques
> Protection des hyperviseurs contre les attaques réseaux
7 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les avantages du Cloud Computing du point de vue sécurité & gouvernance (2/2)
> Réduction possible des activités de mise en conformité et d’audit
Statement on Auditing Standards No. 70: Service Organizations Automated Audit, Assertion, Assessment, and Assurance API (A6)
> Données détenues par un tiers impartial> Solutions de stockage et de récupération de données à
moindre coût> Contrôles de sécurité à la demande> Détection en temps réel des falsifications du système
(System Tampering)> Reconstitution rapide des services> Possibilité accrue de créer des réseaux leurres (honeynet)
La capture d’une machine virtuelle ne compromet pas l’hôte
8 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les défis du Cloud Computing du point de vue sécurité & gouvernance (1/4)
> Confiance dans le modèle de sécurité du fournisseur souvent opaque
> Réponse par le client aux recommandations des audits
> Aide aux enquêtes après incidents
> Responsabilité des administrateurs appartenant au fournisseur
> Perte du contrôle physique
> Gestion de l’isolement des machines virtuelles
> Présence de multi-location (multi-tenancy)
> Gestion des versions de logiciels
9 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les défis du Cloud Computing du point de vue sécurité & gouvernance (2/4)
> Protection des données personnelles Traitement dans l’E.E.E. ou la Suisse, le Canada, l’Argentine,
Guernesey, Jersey, Man et le Safe Harbour (US)
Règles internes d’entreprise / Corporate Binding rule
Clauses contractuelles types (5 février 2010)
Autorisation de transfert
> Droit d’accès des organismes gouvernementaux Patriot Act, Regulation of Investigatory Powers Act,
LOPPSI, etc.
> Conservation légale des documents et leur production
> Garantie de la qualité de service
10 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les défis du Cloud Computing du point de vue sécurité & gouvernance (3/4)
> Attirance des hackers (www.zone-h.org)
> Possibilité d’une panne massive
> Intégration avec l’informatique interne
> Besoins de chiffrement Problèmes légaux (import, export, utilisation)
Accès chiffré à l’interface de contrôle du Cloud
Accès chiffré aux applications
Chiffrement des données stockées
> Permanence / rémanence des données
> Agrégation et inférence des données
11 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Les défis du Cloud Computing du point de vue sécurité & gouvernance (4/4)
> Sécurisation des OS virtuels dans le Cloud
> Dépendance de la sécurité des hyperviseurs
> Gestion des identités dans le Cloud Provisioning / déprovisioning
Authentification
Fédération
Gestion des profils utilisateurs et des autorisations d’accès
12 Gouvernance et Sécurité dans le Cloud Computing : Avantages et Défis. Yves LE ROUX
Gouvernance et Sécurité dans le Cloud Computing : avantages et défis
Yves LE ROUX CISSP CISMPrincipal Consultant
