SlideShare ist ein Scribd-Unternehmen logo

Cloud & Sécurité : une approche pragmatique pour les RSSI

Als PPTX, PDF herunterladen
Microsoft Décideurs IT
Microsoft Décideurs IT

L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.

Technologie
1 von 38
palais des congrès Paris 7, 8 et 9 février 2012
Cloud & Sécurité une approche pragmatique pour les RSSI Jean-Yves Grasset, CISSP, CCSK Stanislas Quastana, CISSP, CCSK Architectes - Microsoft France
Objectifs de cette session Adopter ensemble un langage commun sur le Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
Qu’est-ce que le Cloud Computing ? ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande
4 modèles de déploiement 5 caractéristiques 3 modèles de service Source de la définition : NIST – National Institute Standard and Technology
5 caractéristiques Self service Elasticité Mise en commun de ressources Accès universel via le réseau Service mesurable
3 modèles de service Software À construire as a Service (SaaS) À construire Platform as a Service (PaaS) Infrastructure as a Service (IaaS)
4 modèles de déploiement Privé Public Hybride Communautaire
Résumé de la vue du NIST Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
Quel cloud pour quel usage ? Faire le bon choix
Etape 1 : identifier et classifier vos applications Impacts sur l’activité & impactsAttendre un peu et Cloudification Cloudification possible techniques réalisable dès réfléchir avant la aujourd’hui vaporisation !  Non critique pour  Non critique pour  Critique pour l’activité l’entreprise l’entreprise  Contraintes réglementaires  Pas de contraintes  Peu de contrainte  Contenu à fort impact réglementaires réglementaires  Contenu à faible impact  Contenu à impact moyen  Non distribuée  Distribuée (géo /  Distribuée (géo /  Nécessite peu de machines) machines) supervision  Nécessite peu de  Nécessite une supervision  Petite base de données supervision avancée  Base de données  Grosse base de données moyenne
Etape 2 : « cloudifier » en priorité les applications entrant dans un des modèles suivants “On et Off” “Croissance rapide” Resourc Resourc e usage e usage Inactivity Period Average Usage Average Usage Time Time Application dans un Plan de reprise d’activité (PRA) Startup ou croissance par acquisition Prototypage de produits Fusions & acquisitions “Pic non prédictible” “Pics prédictibles” Resourc e usage Resourc e usage Average Usage Average Usage Time Time Système de réponse d’urgence Traitement de la paie Activité dépendant des évènements courants (ex: News) Périodes de ventes, de vacances…
Nouveaux services, nouveaux usages Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux  Cloud public et mobilité = même combat !  Application mobile = Cloud Computing  Application pour réseaux sociaux = Cloud Computing Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT
Cloud Computing : risques & challenges
Préoccupations majeures à l’adoption du Cloud 48% Sécurité des services Craintes concernant l'accès, localisation aux données, vie privée 42% Coûts variables et non prédictibles 34% Niveaux de service non adéquats (disponibilité, performances, fiabilité) 29% Augmente le risque pour l'activité commerciale 26% Perception de perte de contrôle de l'IT et des choix technologiques 24% % de réponses (3 choix permis / personne) Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
2 organisations spécialisées sur le sujet http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
2 documents de références http://www.enisa.europa.eu/act/rm/files/deli verables/cloud-computing-risk- assessment/at_download/fullReport https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Pourquoi le choix Cloud Security Alliance ? Matrix Cloud Controls  Critères de choix du fournisseur de Cloud Pas uniquement orienté analyse de risque Concentré sur le sujet « Sécurité du Cloud » Plus global  versus NIST (US) et ENISA (Europe)
Une proposition de démarche d’analyse de risques pour le Cloud Avec démos à l’appui ;-)
La démarche
Exposition, impact et probabilité d’occurrence Impact Exposition au risque = Exposition Likely Catastrophic Damage High Probabilité*Impact to the Business Likely Net Loss to the Business Medium Likely No Realization of Business Objectives L’Exposition est Likely Partial Realization of évaluée par son effet Business Objectives sur le business Low Likely Full Realization of Business Objectives Low Medium High Probabilité
Domaines Risques Cloud & Tolérance Cloud Risk Control Area Enterprise Risk Tolerance Reputation & Brand Business Organizational Readiness Governance & Enterprise Risk Management Tolerance Governance Cloud Security Alliance Domains Legal Issues : Contracts and Electronic Discovery Tolerate Catastrophic Compliance and Audit Management Damage to the Business Information Management & Data Security Tolerate Net Loss to the Business Interoperability and Portability Tolerate No Realization Application Security of Business Objectives Technical Encryption and Key Management Tolerate Partial Realization Identity and Access Management of Business Objectives Virtualization Tolerate Only Full Security as a Service Realization of Objectives Data Center Operations Operations Traditional Security, Business Continuity & Disaster Recovery Incident Response
Exemple : application mobile • Traitement et stockage de données personnelles • Respect des réglementations (localisation des données, déclaration CNIL..) • Protection des informations en transit et au repos
Le questionnaire du boss (mais assisté du RSSI) Evaluation tolérance au risque
Evaluation tolérance au risque
Le questionnaire Sécurité (le RSSI et « ses amis ») Evaluation des risques de la solution
Questionnaire Sécurité : Pourquoi, pour qui ? Evaluer le risque selon les 15 domaines de la CSA Ciblé pour le service ou l’application à faire héberger sur le Cloud Concerne le RSSI  il s’agit d’un questionnaire sécurité ! ET le responsable/architecte du service  Qui connait le design de l’application RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque
Evaluation des risques de la solution Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very
Comparaison Exposition vs Tolérance (1/2)
Comparaison Exposition vs Tolérance (2/2) Tolérance au risque Exposition au risque
Le traitement du risque
Stratégies d’atténuation Chaque domaine « Remediate » doit être examiné pour identifier le ou les items « fautifs » et définir une stratégie d’atténuation
Stratégie de traitement du risque Réduction du risque Transfert du risque • Détermination de contre-mesures par • Transfert du risque vers le exemple : fournisseur • Choix du fournisseur, ajout de • Service Level Agreement, pénalités contrôles, modification • Assurance d’architecture, organisation, héberge ment multi-fournisseurs (dsiponibilité) Evitement du risque Acceptation du risque • Choix de ne pas déployer le • L’entreprise décide de tolérer le service dans le Cloud risque pour l’hébergement de cette • Choix d’un modèle de déploiement solution dans le Cloud (ex Cloud privé/hybride)
Risques résiduels Certains risques pourront être acceptés
Synthèse Il faut bien terminer….
Synthèse Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-) Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.
Ressources utiles – Quelques lectures ENISA http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment/at_download/fullReport Cloud Security Alliance https://cloudsecurityalliance.org/guidance/csaguide.v3.0. pdf Microsoft Cloud http://www.microsoft.com/cloud
Merci de votre attention 

Empfohlen

Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing FICEL Hemza
 
Cloud computing
Cloud computingCloud computing
Cloud computingchaima ben
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Introduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingIntroduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingRaouia Bouabdallah
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiersHeithem Abbes
 

Empfohlen

Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing FICEL Hemza
 
Cloud computing
Cloud computingCloud computing
Cloud computingchaima ben
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Introduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingIntroduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingRaouia Bouabdallah
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiersHeithem Abbes
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computingArafet BOUSSAID
 
Cloud Computing presentation
Cloud Computing presentationCloud Computing presentation
Cloud Computing presentationSeif Ben Hammouda
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
base de données -note de cours
base de données -note de cours base de données -note de cours
base de données -note de cours Yassine Badri
 
Présentation de Microsoft Azure
Présentation de Microsoft AzurePrésentation de Microsoft Azure
Présentation de Microsoft AzureChristophe Peugnet
 
Cloud computing
Cloud computingCloud computing
Cloud computingIshakHAMEDDAH
 
Qu'est ce que le cloud computing
Qu'est ce que le cloud computingQu'est ce que le cloud computing
Qu'est ce que le cloud computingeMunicipality by Kratos Technology
 
Présentation finale
Présentation finalePrésentation finale
Présentation finaleheniBa
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Ayed CHOKRI
 
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCRappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCGhodbane Heni
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2 Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2 Alphorm
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Riadh K.
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing leilameherzi
 
Prez PFE
Prez PFEPrez PFE
Prez PFEFriaa Marwa
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Raoua Bennasr
 
La virtualisation
La virtualisationLa virtualisation
La virtualisationJuvénal CHOKOGOUE
 
Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musicammecamp7
 
Présentation alp finale 14-05-13
Présentation alp finale 14-05-13Présentation alp finale 14-05-13
Présentation alp finale 14-05-13FernanPatty
 

Weitere ähnliche Inhalte

Was ist angesagt?

Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
Cloud Computing presentation
Cloud Computing presentationCloud Computing presentation
Cloud Computing presentationSeif Ben Hammouda
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
base de données -note de cours
base de données -note de cours base de données -note de cours
base de données -note de cours Yassine Badri
 
Présentation de Microsoft Azure
Présentation de Microsoft AzurePrésentation de Microsoft Azure
Présentation de Microsoft AzureChristophe Peugnet
 
Présentation finale
Présentation finalePrésentation finale
Présentation finaleheniBa
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Ayed CHOKRI
 
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCRappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCGhodbane Heni
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2 Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2 Alphorm
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Riadh K.
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Raoua Bennasr
 

Was ist angesagt? (20)

Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
 
Le cloud computing
Le cloud computingLe cloud computing
Le cloud computing
 
Cloud Computing presentation
Cloud Computing presentationCloud Computing presentation
Cloud Computing presentation
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
base de données -note de cours
base de données -note de cours base de données -note de cours
base de données -note de cours
 
Présentation de Microsoft Azure
Présentation de Microsoft AzurePrésentation de Microsoft Azure
Présentation de Microsoft Azure
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Qu'est ce que le cloud computing
Qu'est ce que le cloud computingQu'est ce que le cloud computing
Qu'est ce que le cloud computing
 
Présentation finale
Présentation finalePrésentation finale
Présentation finale
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats
 
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCRappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2 Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
Alphorm.com Formation WSUS (Windows Server Update Services) 3.0 SP2
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Prez PFE
Prez PFEPrez PFE
Prez PFE
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
La virtualisation
La virtualisationLa virtualisation
La virtualisation
 

Andere mochten auch

Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musicammecamp7
 
Présentation alp finale 14-05-13
Présentation alp finale 14-05-13Présentation alp finale 14-05-13
Présentation alp finale 14-05-13FernanPatty
 
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...svlaemi
 
Analyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital AwardsAnalyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital Awardsvendeers
 
Giraldo sandra tp3_psg122
Giraldo sandra tp3_psg122Giraldo sandra tp3_psg122
Giraldo sandra tp3_psg122Samogi
 
Sicherheit - Transparenz - Qualität
Sicherheit - Transparenz - QualitätSicherheit - Transparenz - Qualität
Sicherheit - Transparenz - QualitätConnected-Blog
 
Collectart : l'appli des collectionnneurs en herbe
Collectart : l'appli des collectionnneurs en herbeCollectart : l'appli des collectionnneurs en herbe
Collectart : l'appli des collectionnneurs en herbeAurite Kouts
 
Tecnoadicciones
TecnoadiccionesTecnoadicciones
TecnoadiccionesRos2798
 
Virus y antivirus.
Virus y antivirus.Virus y antivirus.
Virus y antivirus.mayerly_paez
 
Sistema óseo y muscular. Ciclo 4. Daissy
Sistema óseo y muscular. Ciclo 4. DaissySistema óseo y muscular. Ciclo 4. Daissy
Sistema óseo y muscular. Ciclo 4. DaissyDaissy M Velandia
 
CupCoffee_Analysis_French
CupCoffee_Analysis_FrenchCupCoffee_Analysis_French
CupCoffee_Analysis_FrenchJoseph Smalzer
 
Los videojuegos en la vida
Los videojuegos en la vidaLos videojuegos en la vida
Los videojuegos en la vidasebasbg
 
Schritt für Schritt zum erfolgreichen E-Mail Marketing
Schritt für Schritt zum erfolgreichen E-Mail MarketingSchritt für Schritt zum erfolgreichen E-Mail Marketing
Schritt für Schritt zum erfolgreichen E-Mail MarketingConnected-Blog
 
Compréhension orga tôlerie
Compréhension orga tôlerieCompréhension orga tôlerie
Compréhension orga tôlerieLefab
 

Andere mochten auch (20)

Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musica
 
Présentation alp finale 14-05-13
Présentation alp finale 14-05-13Présentation alp finale 14-05-13
Présentation alp finale 14-05-13
 
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...
Forschungsdaten und Forschungsdateninfrastrukturen in den Wirtschaftswissensc...
 
Hessen it
Hessen it Hessen it
Hessen it
 
Analyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital AwardsAnalyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital Awards
 
Taller de-software
Taller de-softwareTaller de-software
Taller de-software
 
Tribune mpt 1
Tribune mpt 1Tribune mpt 1
Tribune mpt 1
 
Giraldo sandra tp3_psg122
Giraldo sandra tp3_psg122Giraldo sandra tp3_psg122
Giraldo sandra tp3_psg122
 
Der mobile Konsument
Der mobile KonsumentDer mobile Konsument
Der mobile Konsument
 
Limousin
LimousinLimousin
Limousin
 
Sicherheit - Transparenz - Qualität
Sicherheit - Transparenz - QualitätSicherheit - Transparenz - Qualität
Sicherheit - Transparenz - Qualität
 
Collectart : l'appli des collectionnneurs en herbe
Collectart : l'appli des collectionnneurs en herbeCollectart : l'appli des collectionnneurs en herbe
Collectart : l'appli des collectionnneurs en herbe
 
Tecnoadicciones
TecnoadiccionesTecnoadicciones
Tecnoadicciones
 
Virus y antivirus.
Virus y antivirus.Virus y antivirus.
Virus y antivirus.
 
Sistema óseo y muscular. Ciclo 4. Daissy
Sistema óseo y muscular. Ciclo 4. DaissySistema óseo y muscular. Ciclo 4. Daissy
Sistema óseo y muscular. Ciclo 4. Daissy
 
CupCoffee_Analysis_French
CupCoffee_Analysis_FrenchCupCoffee_Analysis_French
CupCoffee_Analysis_French
 
Los videojuegos en la vida
Los videojuegos en la vidaLos videojuegos en la vida
Los videojuegos en la vida
 
Schritt für Schritt zum erfolgreichen E-Mail Marketing
Schritt für Schritt zum erfolgreichen E-Mail MarketingSchritt für Schritt zum erfolgreichen E-Mail Marketing
Schritt für Schritt zum erfolgreichen E-Mail Marketing
 
Compréhension orga tôlerie
Compréhension orga tôlerieCompréhension orga tôlerie
Compréhension orga tôlerie
 
Tecnología Educativa
Tecnología EducativaTecnología Educativa
Tecnología Educativa
 

Ähnlich wie Cloud & Sécurité : une approche pragmatique pour les RSSI

2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...Club Cloud des Partenaires
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
AtelierENP - 12 décembre 2012
AtelierENP - 12 décembre 2012AtelierENP - 12 décembre 2012
AtelierENP - 12 décembre 2012CCI Yonne
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Ms private cloud strategy by Stephane Consalvi
Ms private cloud strategy by Stephane ConsalviMs private cloud strategy by Stephane Consalvi
Ms private cloud strategy by Stephane ConsalviTechdaysTunisia
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
2012.12.05. Réinventez votre business et repensez votre informatique avec les...
2012.12.05. Réinventez votre business et repensez votre informatique avec les...2012.12.05. Réinventez votre business et repensez votre informatique avec les...
2012.12.05. Réinventez votre business et repensez votre informatique avec les...Club Cloud des Partenaires
 
Slideshare open source en business intelligence
Slideshare open source en business intelligenceSlideshare open source en business intelligence
Slideshare open source en business intelligenceaxx-it
 
Flow Line En route vers l'herbergement, la revolution des services et l'optim...
Flow Line En route vers l'herbergement, la revolution des services et l'optim...Flow Line En route vers l'herbergement, la revolution des services et l'optim...
Flow Line En route vers l'herbergement, la revolution des services et l'optim...Flow Line Groupe
 
Migrer vers le cloud grace au Model-Driven
Migrer vers le cloud grace au Model-DrivenMigrer vers le cloud grace au Model-Driven
Migrer vers le cloud grace au Model-DrivenPascal Roques
 
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...Microsoft
 
Cloud Academy 24032010 Cloud Public Privé
Cloud Academy 24032010 Cloud Public PrivéCloud Academy 24032010 Cloud Public Privé
Cloud Academy 24032010 Cloud Public PrivéJean-François Caenen
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Cloud computing day - Technofutur TIC
Cloud computing day - Technofutur TICCloud computing day - Technofutur TIC
Cloud computing day - Technofutur TICEPC Familia
 
Documation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessDocumation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessJérémy Prioux
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 

Ähnlich wie Cloud & Sécurité : une approche pragmatique pour les RSSI (20)

2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
Cloud Computing Conference in Paris
Cloud Computing Conference in ParisCloud Computing Conference in Paris
Cloud Computing Conference in Paris
 
AtelierENP - 12 décembre 2012
AtelierENP - 12 décembre 2012AtelierENP - 12 décembre 2012
AtelierENP - 12 décembre 2012
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1
 
Ms private cloud strategy by Stephane Consalvi
Ms private cloud strategy by Stephane ConsalviMs private cloud strategy by Stephane Consalvi
Ms private cloud strategy by Stephane Consalvi
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
2012.12.05. Réinventez votre business et repensez votre informatique avec les...
2012.12.05. Réinventez votre business et repensez votre informatique avec les...2012.12.05. Réinventez votre business et repensez votre informatique avec les...
2012.12.05. Réinventez votre business et repensez votre informatique avec les...
 
Slideshare open source en business intelligence
Slideshare open source en business intelligenceSlideshare open source en business intelligence
Slideshare open source en business intelligence
 
Flow Line En route vers l'herbergement, la revolution des services et l'optim...
Flow Line En route vers l'herbergement, la revolution des services et l'optim...Flow Line En route vers l'herbergement, la revolution des services et l'optim...
Flow Line En route vers l'herbergement, la revolution des services et l'optim...
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Migrer vers le cloud grace au Model-Driven
Migrer vers le cloud grace au Model-DrivenMigrer vers le cloud grace au Model-Driven
Migrer vers le cloud grace au Model-Driven
 
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...
Dell Active Infrastructure, la Convergence globale du Data Center selon Dell ...
 
Cloud Academy 24032010 Cloud Public Privé
Cloud Academy 24032010 Cloud Public PrivéCloud Academy 24032010 Cloud Public Privé
Cloud Academy 24032010 Cloud Public Privé
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cloud computing day - Technofutur TIC
Cloud computing day - Technofutur TICCloud computing day - Technofutur TIC
Cloud computing day - Technofutur TIC
 
Documation 2013 - Easy Content Access
Documation 2013 - Easy Content AccessDocumation 2013 - Easy Content Access
Documation 2013 - Easy Content Access
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 

Mehr von Microsoft Décideurs IT

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageMicrosoft Décideurs IT
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaMicrosoft Décideurs IT
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseauMicrosoft Décideurs IT
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureMicrosoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Microsoft Décideurs IT
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Microsoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Microsoft Décideurs IT
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Microsoft Décideurs IT
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Microsoft Décideurs IT
 

Mehr von Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 

Cloud & Sécurité : une approche pragmatique pour les RSSI

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Cloud & Sécurité une approche pragmatique pour les RSSI Jean-Yves Grasset, CISSP, CCSK Stanislas Quastana, CISSP, CCSK Architectes - Microsoft France
  • 3. Objectifs de cette session Adopter ensemble un langage commun sur le Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
  • 4. Qu’est-ce que le Cloud Computing ? ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande
  • 5. 4 modèles de déploiement 5 caractéristiques 3 modèles de service Source de la définition : NIST – National Institute Standard and Technology
  • 6. 5 caractéristiques Self service Elasticité Mise en commun de ressources Accès universel via le réseau Service mesurable
  • 7. 3 modèles de service Software À construire as a Service (SaaS) À construire Platform as a Service (PaaS) Infrastructure as a Service (IaaS)
  • 8. 4 modèles de déploiement Privé Public Hybride Communautaire
  • 9. Résumé de la vue du NIST Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
  • 10. Quel cloud pour quel usage ? Faire le bon choix
  • 11. Etape 1 : identifier et classifier vos applications Impacts sur l’activité & impactsAttendre un peu et Cloudification Cloudification possible techniques réalisable dès réfléchir avant la aujourd’hui vaporisation !  Non critique pour  Non critique pour  Critique pour l’activité l’entreprise l’entreprise  Contraintes réglementaires  Pas de contraintes  Peu de contrainte  Contenu à fort impact réglementaires réglementaires  Contenu à faible impact  Contenu à impact moyen  Non distribuée  Distribuée (géo /  Distribuée (géo /  Nécessite peu de machines) machines) supervision  Nécessite peu de  Nécessite une supervision  Petite base de données supervision avancée  Base de données  Grosse base de données moyenne
  • 12. Etape 2 : « cloudifier » en priorité les applications entrant dans un des modèles suivants “On et Off” “Croissance rapide” Resourc Resourc e usage e usage Inactivity Period Average Usage Average Usage Time Time Application dans un Plan de reprise d’activité (PRA) Startup ou croissance par acquisition Prototypage de produits Fusions & acquisitions “Pic non prédictible” “Pics prédictibles” Resourc e usage Resourc e usage Average Usage Average Usage Time Time Système de réponse d’urgence Traitement de la paie Activité dépendant des évènements courants (ex: News) Périodes de ventes, de vacances…
  • 13. Nouveaux services, nouveaux usages Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux  Cloud public et mobilité = même combat !  Application mobile = Cloud Computing  Application pour réseaux sociaux = Cloud Computing Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT
  • 14. Cloud Computing : risques & challenges
  • 15. Préoccupations majeures à l’adoption du Cloud 48% Sécurité des services Craintes concernant l'accès, localisation aux données, vie privée 42% Coûts variables et non prédictibles 34% Niveaux de service non adéquats (disponibilité, performances, fiabilité) 29% Augmente le risque pour l'activité commerciale 26% Perception de perte de contrôle de l'IT et des choix technologiques 24% % de réponses (3 choix permis / personne) Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
  • 16. 2 organisations spécialisées sur le sujet http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
  • 17. 2 documents de références http://www.enisa.europa.eu/act/rm/files/deli verables/cloud-computing-risk- assessment/at_download/fullReport https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
  • 18. Pourquoi le choix Cloud Security Alliance ? Matrix Cloud Controls  Critères de choix du fournisseur de Cloud Pas uniquement orienté analyse de risque Concentré sur le sujet « Sécurité du Cloud » Plus global  versus NIST (US) et ENISA (Europe)
  • 19. Une proposition de démarche d’analyse de risques pour le Cloud Avec démos à l’appui ;-)
  • 21. Exposition, impact et probabilité d’occurrence Impact Exposition au risque = Exposition Likely Catastrophic Damage High Probabilité*Impact to the Business Likely Net Loss to the Business Medium Likely No Realization of Business Objectives L’Exposition est Likely Partial Realization of évaluée par son effet Business Objectives sur le business Low Likely Full Realization of Business Objectives Low Medium High Probabilité
  • 22. Domaines Risques Cloud & Tolérance Cloud Risk Control Area Enterprise Risk Tolerance Reputation & Brand Business Organizational Readiness Governance & Enterprise Risk Management Tolerance Governance Cloud Security Alliance Domains Legal Issues : Contracts and Electronic Discovery Tolerate Catastrophic Compliance and Audit Management Damage to the Business Information Management & Data Security Tolerate Net Loss to the Business Interoperability and Portability Tolerate No Realization Application Security of Business Objectives Technical Encryption and Key Management Tolerate Partial Realization Identity and Access Management of Business Objectives Virtualization Tolerate Only Full Security as a Service Realization of Objectives Data Center Operations Operations Traditional Security, Business Continuity & Disaster Recovery Incident Response
  • 23. Exemple : application mobile • Traitement et stockage de données personnelles • Respect des réglementations (localisation des données, déclaration CNIL..) • Protection des informations en transit et au repos
  • 24. Le questionnaire du boss (mais assisté du RSSI) Evaluation tolérance au risque
  • 26. Le questionnaire Sécurité (le RSSI et « ses amis ») Evaluation des risques de la solution
  • 27. Questionnaire Sécurité : Pourquoi, pour qui ? Evaluer le risque selon les 15 domaines de la CSA Ciblé pour le service ou l’application à faire héberger sur le Cloud Concerne le RSSI  il s’agit d’un questionnaire sécurité ! ET le responsable/architecte du service  Qui connait le design de l’application RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque
  • 28. Evaluation des risques de la solution Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very
  • 29. Comparaison Exposition vs Tolérance (1/2)
  • 30. Comparaison Exposition vs Tolérance (2/2) Tolérance au risque Exposition au risque
  • 32. Stratégies d’atténuation Chaque domaine « Remediate » doit être examiné pour identifier le ou les items « fautifs » et définir une stratégie d’atténuation
  • 33. Stratégie de traitement du risque Réduction du risque Transfert du risque • Détermination de contre-mesures par • Transfert du risque vers le exemple : fournisseur • Choix du fournisseur, ajout de • Service Level Agreement, pénalités contrôles, modification • Assurance d’architecture, organisation, héberge ment multi-fournisseurs (dsiponibilité) Evitement du risque Acceptation du risque • Choix de ne pas déployer le • L’entreprise décide de tolérer le service dans le Cloud risque pour l’hébergement de cette • Choix d’un modèle de déploiement solution dans le Cloud (ex Cloud privé/hybride)
  • 34. Risques résiduels Certains risques pourront être acceptés
  • 35. Synthèse Il faut bien terminer….
  • 36. Synthèse Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-) Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.
  • 37. Ressources utiles – Quelques lectures ENISA http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment/at_download/fullReport Cloud Security Alliance https://cloudsecurityalliance.org/guidance/csaguide.v3.0. pdf Microsoft Cloud http://www.microsoft.com/cloud
  • 38. Merci de votre attention 

Hinweis der Redaktion

  1. Source image : http://www.apwn.fr/wp-content/uploads/2011/04/objectifs.jpg(refaire image similaire)
  2. 5 caractéristiques3 modèles de service4 modèles de déploiement
  3. 5 caractéristiques- Libre service à la demande- Accès réseau, clients variés- Mise en commun des ressources (pooling)- « Élasticité » rapideService mesuré et facturation à l’usageStream line operationsAméliorel’agilité (= d’adapte à la demande, monte en charge,…)Gagner de nouveaux marchés et clients  ????Focaliser sur la valeur business
  4. TODO : inclure ici une signalétique pour SaaS => utilisateurPaaS => DéveloppeurIaaS=> Administrateur ITUtiliser une application packagée directement dans le CloudCréer une application sur une plateforme hébergée dans le CloudBesoin le plus basique d’héberger une machine virtuelle dans le Cloud
  5. Source : Visual Model of NIST WorkingDefinition of Cloud Computinghttp://www.csrc.nist.gov/groups/SNS/cloud-computing/index.htmlNIST : National Institute of Standards and Technology
  6. TODO : Mettre autre…
  7. In-houseTiming: 2 minutes Key Points:The move to the cloud starts with identifying applications that are low risk, not mission critical, and don’t have regulatory exposure. These are the easier, lower impact opportunities to test the waters. Script:One of the first activities that we recommend you start with is to segment your applications based on their suitability for early transition to the cloud. The ideal first candidates are those applications that are low risk. This model can help you partition your applications looking at both business and technical considerations: From a business perspective, low-risk candidate applications are those that are not mission critical or don’t require a high degree of security, that don’t involve regulatory exposure, and that involve only low-impact content or content that isn’t a high security risk. From a technical perspective, considerations include whether the application is cross-premises, if it has high monitoring needs, how it integrates with other applications, and its database storage requirements. Integration is an important point, as you need to retain that integration during the move; for this reason, these applications are not ideal early candidates.As you look at this matrix, you will find that some of your applications fit in the “wait” column, perhaps because they are critical to the operation of your business or involve a significant degree of regulatory exposure. Others may involve some risk or complexity—perhaps they span multiple premises—but may be worth the effort if the return on investment (ROI) is clear. Others will fit neatly in the “now” column and are ideal candidates for the cloud; these often include your email, productivity applications, and some departmental applications. Let’s have a look at why they represent a good first step.
  8. Utiliser ZoomITPilot Apps That Meet Ideal Workload PatternsTiming: 5 minutes Key Points:After segmenting your applications and identifying those that are non-differentiating, the next best step is to prioritize candidate applications that fit one of these four models. Certain workload patterns, including highly volatile or unpredictable workloads, are ideally suited to the cloud.The cloud may also make new applications possible that would have been cost prohibitive in a traditional infrastructure. Script:Once you have segmented your top candidate applications for the cloud and identified those that can be easily switched to turnkey software as a service (SaaS) applications, what next?A good next step is to evaluate your remaining potential candidate applications to identify those with workload patterns ideally suited to be migrated to or written specifically for the cloud. Although SaaS applications have seen the greatest initial adoption of public IT cloud services, interest in and uptake of platform as a service (PaaS) and infrastructure as a service (IaaS) are on the increase. IDC predicts that by 2014, infrastructure and application development/deployment (PaaS) will make up nearly half of cloud computing market revenue.Do you have any applications that match the patterns depicted here on the slide? Let’s look at these in a little more detail.“On and off” applications have seasonal or time-bounded workloads where the processing requirements are either all or nothing (or close to nothing). In a traditional infrastructure, the capacity dedicated to these workloads sits unused for extended periods of time. Remember the Auction Tool example that I mentioned earlier when I was talking about how Microsoft IT approached the cloud? This is a great example of an application that is only used at a specific point in the year. The rest of the time it sits idle. Another example might be sites that help with tax preparation—in the United States, for example, these include turbotax.com, hrblock.com, taxcut.com, and taxact.com. Activity on these sites spikes between January and April for tax season; data from Alexa.com (which provide web traffic metrics) shows that the load during the peak season can be 10 times the normal load. Of course, the on/off scenario doesn’t always occur on a regular schedule; the same pattern happens when you have occasional one-off computing requirements, perhaps for product prototyping during a development cycle or occasional intensive computer modeling or analysis. We have a customer, RiskMetrics, using the cloud in this situation—they run risk analysis for hedge funds to support recommendations to their clients. The cloud gives them access to powerful computing on demand.“Growing fast” applications are just what they sound like—applications with low (or no) current usage but with anticipated fast growth. Anobvious example is a smaller startup company, but even in the enterprise this has relevance when you’re setting up a new business unit or launching a new service. For example, what if you build an application for a certain segment of your customers, and then find that a lot more people than you had planned for want to use it? The elasticity of the cloud means that scalability—both during development and operation—doesn’t need to slow things down. Another typical example is a merger and acquisition (M&A) scenario, when nearly overnight you need to mesh an existing organization in with your existing systems. The cloud lets you add capacity as required, without delay.With unpredictable bursting, you get unexpected or unplanned peaks in demand. In a traditional infrastructure, you would need to estimate what the potential loads could be and build the capacity for those estimates, even though it will remain unused for the majority of the time. Not only does this lead to wastage, but get the estimate wrong and these sudden spikes can have an impact on performance—depending on the application, this could be critical or just lead to lost opportunities. Consider, for example, an emergency response system in which normal operation is fairly well understood; if a hurricane hits, the system could get overloaded just when you need it most. Another example is when a news or entertainment event prompts a spike in activity. For example, let’s say an underdog team puts in an impressive show and wins a major competition. All of the sudden the fans will be looking to buy related merchandise to celebrate. If an online sports retailer’s site can’t handle the upsurge in demand, it loses its chance. With the cloud, you don’t need to plan for a worst case (or best case!) scenario—it can instantly scale to meet requirements.And finally, predictable bursting—most of the time the demand is steady, but at regular intervals it peaks. One good example is a salary or payroll application; employees might occasionally log in during the month, but in general usage will be quite low except right around payday, when you’ll get a spike as people check to see what their paycheck looks like. Another great example is the holiday season in retail sales. If we look at the traffic ratings from Alexa.com for the websites of some major retailers in the United States—Target, Toys “R” Us, Barnes & Noble, and Walmart—there is a marked increase from September through to December or January when the sites see about four times the normal load, as their customers get busy with their holiday shopping (interestingly, in the case of Barnes & Noble, the peak is actually in January, presumably as a result of returns and people using the gift cards they received as holiday presents). The cloud lets retailers meet seasonal peak demands such as this without having to worry about whether they will have sufficient capacity—or have to pay for that capacity when it isn’t being used. The cloud may also make new applications possible that would have been cost prohibitive in a traditional infrastructure. In all of the above cases, the issue is around having sufficient capacity to meet demand—whether expected or otherwise—without having wasted capacity consuming resources. However, in some cases building a traditional infrastructure to accommodate occasional peak workloads isn’t just inefficient—it’s not feasible. The cloud makes nearly infinite capacity and processing power available on demand, even for short periods, and in so doing it opens up whole new possibilities that simply wouldn’t have been achievable for an individual enterprise previously.  Additional Information:Robert P. Mahowald, “Worldwide Software as a Service 2010-2014 Forecast: Software Will Never Be the Same,” IDC, Doc #223628, June 2010, http://www.idc.com/research/viewdocsynopsis.jsp?containerId=223628&sectionId=null&elementId=null&pageType=SYNOPSISFor details on the Alexa.com stats, see the Windows Azure EBC deck (November 2010): http://arsenalcontent/ContentDetail.aspx?ContentID=183703RiskMetrics: http://www.microsoft.com/casestudies/Windows-Azure/RiskMetrics/Financial-Risk-Analysis-Firm-Enhances-Capabilities-with-Dynamic-Computing/4000005921
  9. Exemple : le cas Zynga !
  10. Source : “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz - Gartner
  11. ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
  12. Décrire un scénario d’application fonctionnant dans un environnement Cloud public ou hybrideUne appli qu’on met dans le Cloud mais pb authentification, fédérationExemple d’application : Application mobile avec création de profils utilisateur gérés dans le CloudTechniqueChiffrement de la base de données (atrest)Information (en transit)Légal (privacy) : voir 2.2 Legal IssuesDonnées personnelles : déclaration obligatoire à la CNILLocalisation des données : si hors Europe, la CNIL doit approuver l’endroitIl reste à scripter un scénario :en customisant les réponses de la page CIO pour maximiser les risques légaux et protection des donnéesen customisant les réponses sur le questionnaire sécurité pour mettre en évidence ces 2 points à remédieren proposant les solutions de remédiation pour traiter ces risques et faire passer en risque acceptable
  13. Le cas : ReconsiderTolerance qui peut indiquer soit une trop forte couverture du risque ou une mauvaise évaluation de la tolérance.La recommandation est basée sur la différence entre la tolérance au risque et l’exposition au risqueSi les 2 valeurs sont identiques la recommandation est « Aligned »Si la différence entre l’exposition et la tolérance est de 1, on considère « Acceptable »Si la tolérance est supérieure de 2 à l’exposition, on considère également «  Acceptable »Si l’exposition au risque est supérieure à 2, on préconise « Remediate »Si la tolérance est supérieure de 3 ou 4 à l’exposition, on préconise « ReconsiderTolerance »