SlideShare une entreprise Scribd logo

sécurité du cloud... un nuage à multiples facettes

Orange Business Services
Orange Business Services

présentation donnée à CERT-IST -- Forum 2013 par Jean-Francois Audenard, Cloud Security Advisor, Orange Business Services

Technologie
1  sur  27
sécurité du Cloud …un nuage à multiples facettes CERT-IST – Forum 2013 12/06/2013 Jean-François AUDENARD - @jeffman78 Cloud Security Advisor - Orange Business Services
questions from the field “please answer our “80-100” questions” form to explain what security controls are in place and how they’ve been implemented ” - a large French company in the hotel services - a important company in the production of TV programs/shows “our internal policy requires a penetration test of your cloud infrastructure/services before using them” - a French company in the energy distribution sector - a worldwide company in the oil & gas industry “how is secured my corporate IPVPN network when connecting it together with VPN Galerie ?” “how are secured data stored in your cloud platforms from Orange administrators prying eyes ?” - a European company in the public works sector - a service provider in the telecom industry “we require our data to stay in France and to be sure that they won’t be impacted by the Patriot-Act” - a French company in the industry 2
part 1 Introduction
Pervasive, reliable and secure network connectivity Cloud Security Security OF the Cloud Security FOR the Cloud Security IN the Cloud 4
5 concentration des risques convergence des métiers sous-traitance cachée/masquée perte de gouvernance contractualisation à 360° extension et multiplication du périmètre impacts de l’internationalisation criticité des accès réseaux ce qui change
6 IaaS & PaaS  La DSI poussent les usages  Démarche unifiée car peu de fragmentation des fournisseurs  Nécessité de promouvoir le catalogue de services Interne auprès des directions  Mise en œuvre possible en interne DSI : au volant SaaS  Ce sont les directions métiers qui poussent  devant le fait accompli (Shadow-IT)  Solutions internes rarement envisageables  Sécurisation compliquée DSI : siège passager un monde bipolaire
Safe Harbor 7 Privacy Program Verification Amazon None In house Google None In house LinkedIn TRUSTe TRUSTe Microsoft TRUSTe In house & Third Party SalesForce TRUSTe Third Party – (TRUSTe) Dropbox None Third Party (TRUSTe) http://en.wikipedia.org/wiki/TRUSTe
entre vie privée et intelligence économique 8 FISA 1978 Patriot-Act 2001 (2006) FISAA 2008 (2012) ?
données à caractère personnel la tendance EU 9  Déclaration des brèches  Vers un équilibrage Contrôleur/Processeur  Contrôleur  Analyse de risque en amont  Stratégie de sécurité formalisée dans contrat  Processeur  Co-responsable si pas en mesure de montrer que ce qui était demandé a été fait
part 2 security OF the Cloud
construire ou souscrire ? niveau de partage infrastructuredédiée + - - + maitrisedelasécurité - + + - Private cloud Public Cloud risques potentiels Community cloud Hybrid cloud 11
répartition et transparence  Définir le niveau de management  Préciser les rôles et responsabilités (RACI)  Contractualiser  Procéder à sa mise en œuvre  En assurer le pilotage & reporting IaaS « Fully Managed » Level of responsability Datacenter Network & servers Hypervisor VM OS Application server Application Managed by the provider Managed by the customer 1 1 « Pure » Iaas 2 2 Iaas « OS managed » 3 3 IaaS « AppSvr managed » 4 4 IaaS « Fully Managed » 12
Standardisation - ISO 13 ISO/IEC 27017 Guidelines for information security controls associated with cloud computing services by providing: - additional implementation guidance for relevant information security controls specified in ISO/IEC 27002, and - additional controls and implementation guidance that specifically relate to cloud computing services. ISO/IEC 27018 Code of practice for data protection controls for public cloud computing services (Code of practice for PII protection in public clouds acting as PII processors)
CSA – STAR Certification 14 The open certification framework is structured on 3 LEVELs of TRUST, each one of them providing an incremental level of visibility and transparency into the operations of the Cloud Service Provider and a higher level of assurance to the Cloud consumer.
part 3 security FOR the Cloud
16 SaaS – Challenges & leviers Criticité des accès réseau Redondance, interco privée Elasticité, protection contre DDoS Contrôle d’accès, confidentialité Fédération d’identité Authentification double facteur Accès aux logs Chiffrement données « at-rest » Portabilité/réversibilité Format ouverts Disponibilité d’API Clauses contractuelles Evolutions fonctionnelles Clauses contractuelles Conformité/transparence tests d’intrusion Auditabilité, certifications
17 IaaS – Challenges & leviers Criticité des accès réseau Redondance, interco privée Elasticité, protection contre DDoS Portabilité/réversibilité Format ouverts Disponibilité d’API Clauses contractuelles Conformité/transparence tests d’intrusion Auditabilité, certifications Sécurité périmétrique Inter-VM threats Interfaces de gestion (www/API) Firewalling & IPS virtualisés/phys. Accès aux logs (Mgt / flux) Contrôle d’accès, confidentialité Fédération d’identité Authentification double facteur Accès aux logs Chiffrement « Full VM »
sécurité IaaS – 3 approches (1/3) 18 FW Tenant A Switch(s)/Routeur(s) Firewall matériel Contextes virtualisés Interfaces réseau FW Tenant B Management Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Tenant B VM-1 NIC VM-2 NIC … Virtualisation N N N N N N vswitch Hyperviseur Virtualisation Réseau physique @ firewall matériel avec contextes virtualisés
sécurité IaaS – 3 approches (2/3) 19 Switch(s)/Routeur(s) Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Tenant B VM-1 NIC VM-2 NIC … vswitch Hyperviseur Virtualisation Réseau physique @ VM Firewall N N N Hyperviseur appliance virtuelle firewall
sécurité IaaS – 3 approches (3/3) 20 Switch(s)/Routeur(s) Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Cloud Provider vswitch Hyperviseur Virtualisation Réseau physique @ Hyperviseur VM Firewall N N NN…N Firewalling intégré à l’hyperviseur
part 5 Recommandations
éléments essentiels d’un contrat cloud France Telecom confidential22 Transparence de la stratégie sécurité Disponibilité et redondance Clauses de réversibilité sécurité des consoles de gestion et API IAM Accès réseaux are you cloud ready ? localisation géographique & nationalité du CSP gouvernance Intégration de la sécurité dans le contrat
le coin du documentaliste 23 données à caractère personnel contractualisation appréhender les risques, définir sa stratégie et la dérouler Cloud Computing Risk Assessment CIGREF
continuons l’échange @orangebusiness http://bit.ly/blogsecu 24
des questions ? des réponses !
Build security-in from the start of the project Train your team and educate others to cloud security Integrate security in existing processes Get intimate with cloud IT & ops Take network & IT convergence as an opportunity Select your compliance frameworks & stick with them 6 recommandations clefs 26
la sécurité au coeur d'un projet Cloud 27 Security Managers  review changes  enforce the policy  manage incidents  ensure compliance  lead the 27K ISMS Cloud Security Architects  own security design  define mitigation measures  validate implementation  ensure manageability Governance  define security strategy  global oversight security risk assessment risks mitigation plan high-level risks assessment legal obligations assessment design thinkcloud security strategy definition security impl. assistance security reviewssecurity penetration tests build & deploy operational security & continuous improvement operate build

Recommandé

Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1Hilal El Akramine
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 

Recommandé

Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1Hilal El Akramine
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Osmosys Light Sept09
Osmosys Light Sept09Osmosys Light Sept09
Osmosys Light Sept09jprobst
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place Manuel Cédric EBODE MBALLA
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...Kyos
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesOpen Source Experience
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013Franck Dasilva
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...Microsoft Décideurs IT
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 

Contenu connexe

Tendances

Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Osmosys Light Sept09
Osmosys Light Sept09Osmosys Light Sept09
Osmosys Light Sept09jprobst
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...Kyos
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesOpen Source Experience
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013Franck Dasilva
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 

Tendances (15)

Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Osmosys Light Sept09
Osmosys Light Sept09Osmosys Light Sept09
Osmosys Light Sept09
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 

Similaire à sécurité du cloud... un nuage à multiples facettes

Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...Microsoft Décideurs IT
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Comment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasComment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasCDNetworks
 
Sécurité UTM / Arkoon
Sécurité UTM / ArkoonSécurité UTM / Arkoon
Sécurité UTM / Arkoonpimp uncle
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillanceSergio Loureiro
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Sergio Loureiro
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Partie I – Décodage technologie ADN
Partie I – Décodage technologie ADNPartie I – Décodage technologie ADN
Partie I – Décodage technologie ADNe-Xpert Solutions SA
 

Similaire à sécurité du cloud... un nuage à multiples facettes (20)

Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Comment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saasComment optimiser les performances web des applications en saas
Comment optimiser les performances web des applications en saas
 
Sécurité UTM / Arkoon
Sécurité UTM / ArkoonSécurité UTM / Arkoon
Sécurité UTM / Arkoon
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Partie I – Décodage technologie ADN
Partie I – Décodage technologie ADNPartie I – Décodage technologie ADN
Partie I – Décodage technologie ADN
 

Plus de Orange Business Services

OT-IT convergence and IoT: innovate at scale and mitigate cyber risks
OT-IT convergence and IoT: innovate at scale and mitigate cyber risksOT-IT convergence and IoT: innovate at scale and mitigate cyber risks
OT-IT convergence and IoT: innovate at scale and mitigate cyber risksOrange Business Services
 
Asia-Pacific: smart mobility for the public sector with Orange
Asia-Pacific: smart mobility for the public sector with Orange Asia-Pacific: smart mobility for the public sector with Orange
Asia-Pacific: smart mobility for the public sector with Orange Orange Business Services
 
Driving Forward Digital Technology and the Automotive Industry in Asia-Pacific
Driving Forward Digital Technology and the Automotive Industry in Asia-PacificDriving Forward Digital Technology and the Automotive Industry in Asia-Pacific
Driving Forward Digital Technology and the Automotive Industry in Asia-PacificOrange Business Services
 
How to deliver faster AI insights while safeguarding data security and privacy?
How to deliver faster AI insights while safeguarding data security and privacy? How to deliver faster AI insights while safeguarding data security and privacy?
How to deliver faster AI insights while safeguarding data security and privacy? Orange Business Services
 
Building the connected Supply Chain – how digital is transforming Asia-Pacific
Building the connected Supply Chain – how digital is transforming Asia-PacificBuilding the connected Supply Chain – how digital is transforming Asia-Pacific
Building the connected Supply Chain – how digital is transforming Asia-PacificOrange Business Services
 
How digital is transforming financial services in Asia Pacific
How digital is transforming financial services in Asia Pacific How digital is transforming financial services in Asia Pacific
How digital is transforming financial services in Asia Pacific Orange Business Services
 
Digitally transforming the Asia Pacific building construction industry
Digitally transforming the Asia Pacific building construction industryDigitally transforming the Asia Pacific building construction industry
Digitally transforming the Asia Pacific building construction industryOrange Business Services
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessOrange Business Services
 
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016Orange Business Services
 
World café people and digital supports ppt interventions plénières villageby_...
World café people and digital supports ppt interventions plénières villageby_...World café people and digital supports ppt interventions plénières villageby_...
World café people and digital supports ppt interventions plénières villageby_...Orange Business Services
 
Skype Entreprise, tremplin de la transformation digitale ?
Skype Entreprise, tremplin de la transformation digitale ?Skype Entreprise, tremplin de la transformation digitale ?
Skype Entreprise, tremplin de la transformation digitale ?Orange Business Services
 
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSEOrange Business Services
 
Internet des Objets et Big data pour les assurances : la révolution est en ma...
Internet des Objets et Big data pour les assurances : la révolution est en ma...Internet des Objets et Big data pour les assurances : la révolution est en ma...
Internet des Objets et Big data pour les assurances : la révolution est en ma...Orange Business Services
 
Digitally transforming transport and logistics
Digitally transforming transport and logisticsDigitally transforming transport and logistics
Digitally transforming transport and logisticsOrange Business Services
 
Smart cities - leading the way towards Digital India
Smart cities - leading the way towards Digital IndiaSmart cities - leading the way towards Digital India
Smart cities - leading the way towards Digital IndiaOrange Business Services
 
Digging deep - the digital transformation of mining
Digging deep - the digital transformation of miningDigging deep - the digital transformation of mining
Digging deep - the digital transformation of miningOrange Business Services
 
Retail therapy - the digital transformation of shopping
Retail therapy - the digital transformation of shoppingRetail therapy - the digital transformation of shopping
Retail therapy - the digital transformation of shoppingOrange Business Services
 
[infographie] Comment optimiser la gestion des déchets ?
[infographie] Comment optimiser la gestion des déchets ?[infographie] Comment optimiser la gestion des déchets ?
[infographie] Comment optimiser la gestion des déchets ?Orange Business Services
 

Plus de Orange Business Services (20)

OT-IT convergence and IoT: innovate at scale and mitigate cyber risks
OT-IT convergence and IoT: innovate at scale and mitigate cyber risksOT-IT convergence and IoT: innovate at scale and mitigate cyber risks
OT-IT convergence and IoT: innovate at scale and mitigate cyber risks
 
Asia-Pacific: smart mobility for the public sector with Orange
Asia-Pacific: smart mobility for the public sector with Orange Asia-Pacific: smart mobility for the public sector with Orange
Asia-Pacific: smart mobility for the public sector with Orange
 
Driving Forward Digital Technology and the Automotive Industry in Asia-Pacific
Driving Forward Digital Technology and the Automotive Industry in Asia-PacificDriving Forward Digital Technology and the Automotive Industry in Asia-Pacific
Driving Forward Digital Technology and the Automotive Industry in Asia-Pacific
 
How to deliver faster AI insights while safeguarding data security and privacy?
How to deliver faster AI insights while safeguarding data security and privacy? How to deliver faster AI insights while safeguarding data security and privacy?
How to deliver faster AI insights while safeguarding data security and privacy?
 
Building the connected Supply Chain – how digital is transforming Asia-Pacific
Building the connected Supply Chain – how digital is transforming Asia-PacificBuilding the connected Supply Chain – how digital is transforming Asia-Pacific
Building the connected Supply Chain – how digital is transforming Asia-Pacific
 
How digital is transforming financial services in Asia Pacific
How digital is transforming financial services in Asia Pacific How digital is transforming financial services in Asia Pacific
How digital is transforming financial services in Asia Pacific
 
Digitally transforming the Asia Pacific building construction industry
Digitally transforming the Asia Pacific building construction industryDigitally transforming the Asia Pacific building construction industry
Digitally transforming the Asia Pacific building construction industry
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your business
 
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016
World café restitution atelier le manager digital 3.0 villageby-ca_12_07_2016
 
World café people and digital supports ppt interventions plénières villageby_...
World café people and digital supports ppt interventions plénières villageby_...World café people and digital supports ppt interventions plénières villageby_...
World café people and digital supports ppt interventions plénières villageby_...
 
Orange Data Centre and Cloud
Orange Data Centre and CloudOrange Data Centre and Cloud
Orange Data Centre and Cloud
 
Skype Entreprise, tremplin de la transformation digitale ?
Skype Entreprise, tremplin de la transformation digitale ?Skype Entreprise, tremplin de la transformation digitale ?
Skype Entreprise, tremplin de la transformation digitale ?
 
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE
[FR] Cercle Premier RSE : COP 21, comment le digital peut aider ? #CercleRSE
 
Internet des Objets et Big data pour les assurances : la révolution est en ma...
Internet des Objets et Big data pour les assurances : la révolution est en ma...Internet des Objets et Big data pour les assurances : la révolution est en ma...
Internet des Objets et Big data pour les assurances : la révolution est en ma...
 
Digitally transforming transport and logistics
Digitally transforming transport and logisticsDigitally transforming transport and logistics
Digitally transforming transport and logistics
 
Smart cities - leading the way towards Digital India
Smart cities - leading the way towards Digital IndiaSmart cities - leading the way towards Digital India
Smart cities - leading the way towards Digital India
 
Digging deep - the digital transformation of mining
Digging deep - the digital transformation of miningDigging deep - the digital transformation of mining
Digging deep - the digital transformation of mining
 
Retail therapy - the digital transformation of shopping
Retail therapy - the digital transformation of shoppingRetail therapy - the digital transformation of shopping
Retail therapy - the digital transformation of shopping
 
[White Paper] Are containers the future ?
[White Paper] Are containers the future ?[White Paper] Are containers the future ?
[White Paper] Are containers the future ?
 
[infographie] Comment optimiser la gestion des déchets ?
[infographie] Comment optimiser la gestion des déchets ?[infographie] Comment optimiser la gestion des déchets ?
[infographie] Comment optimiser la gestion des déchets ?
 

sécurité du cloud... un nuage à multiples facettes

  • 1. sécurité du Cloud …un nuage à multiples facettes CERT-IST – Forum 2013 12/06/2013 Jean-François AUDENARD - @jeffman78 Cloud Security Advisor - Orange Business Services
  • 2. questions from the field “please answer our “80-100” questions” form to explain what security controls are in place and how they’ve been implemented ” - a large French company in the hotel services - a important company in the production of TV programs/shows “our internal policy requires a penetration test of your cloud infrastructure/services before using them” - a French company in the energy distribution sector - a worldwide company in the oil & gas industry “how is secured my corporate IPVPN network when connecting it together with VPN Galerie ?” “how are secured data stored in your cloud platforms from Orange administrators prying eyes ?” - a European company in the public works sector - a service provider in the telecom industry “we require our data to stay in France and to be sure that they won’t be impacted by the Patriot-Act” - a French company in the industry 2
  • 4. Pervasive, reliable and secure network connectivity Cloud Security Security OF the Cloud Security FOR the Cloud Security IN the Cloud 4
  • 5. 5 concentration des risques convergence des métiers sous-traitance cachée/masquée perte de gouvernance contractualisation à 360° extension et multiplication du périmètre impacts de l’internationalisation criticité des accès réseaux ce qui change
  • 6. 6 IaaS & PaaS  La DSI poussent les usages  Démarche unifiée car peu de fragmentation des fournisseurs  Nécessité de promouvoir le catalogue de services Interne auprès des directions  Mise en œuvre possible en interne DSI : au volant SaaS  Ce sont les directions métiers qui poussent  devant le fait accompli (Shadow-IT)  Solutions internes rarement envisageables  Sécurisation compliquée DSI : siège passager un monde bipolaire
  • 7. Safe Harbor 7 Privacy Program Verification Amazon None In house Google None In house LinkedIn TRUSTe TRUSTe Microsoft TRUSTe In house & Third Party SalesForce TRUSTe Third Party – (TRUSTe) Dropbox None Third Party (TRUSTe) http://en.wikipedia.org/wiki/TRUSTe
  • 8. entre vie privée et intelligence économique 8 FISA 1978 Patriot-Act 2001 (2006) FISAA 2008 (2012) ?
  • 9. données à caractère personnel la tendance EU 9  Déclaration des brèches  Vers un équilibrage Contrôleur/Processeur  Contrôleur  Analyse de risque en amont  Stratégie de sécurité formalisée dans contrat  Processeur  Co-responsable si pas en mesure de montrer que ce qui était demandé a été fait
  • 10. part 2 security OF the Cloud
  • 11. construire ou souscrire ? niveau de partage infrastructuredédiée + - - + maitrisedelasécurité - + + - Private cloud Public Cloud risques potentiels Community cloud Hybrid cloud 11
  • 12. répartition et transparence  Définir le niveau de management  Préciser les rôles et responsabilités (RACI)  Contractualiser  Procéder à sa mise en œuvre  En assurer le pilotage & reporting IaaS « Fully Managed » Level of responsability Datacenter Network & servers Hypervisor VM OS Application server Application Managed by the provider Managed by the customer 1 1 « Pure » Iaas 2 2 Iaas « OS managed » 3 3 IaaS « AppSvr managed » 4 4 IaaS « Fully Managed » 12
  • 13. Standardisation - ISO 13 ISO/IEC 27017 Guidelines for information security controls associated with cloud computing services by providing: - additional implementation guidance for relevant information security controls specified in ISO/IEC 27002, and - additional controls and implementation guidance that specifically relate to cloud computing services. ISO/IEC 27018 Code of practice for data protection controls for public cloud computing services (Code of practice for PII protection in public clouds acting as PII processors)
  • 14. CSA – STAR Certification 14 The open certification framework is structured on 3 LEVELs of TRUST, each one of them providing an incremental level of visibility and transparency into the operations of the Cloud Service Provider and a higher level of assurance to the Cloud consumer.
  • 15. part 3 security FOR the Cloud
  • 16. 16 SaaS – Challenges & leviers Criticité des accès réseau Redondance, interco privée Elasticité, protection contre DDoS Contrôle d’accès, confidentialité Fédération d’identité Authentification double facteur Accès aux logs Chiffrement données « at-rest » Portabilité/réversibilité Format ouverts Disponibilité d’API Clauses contractuelles Evolutions fonctionnelles Clauses contractuelles Conformité/transparence tests d’intrusion Auditabilité, certifications
  • 17. 17 IaaS – Challenges & leviers Criticité des accès réseau Redondance, interco privée Elasticité, protection contre DDoS Portabilité/réversibilité Format ouverts Disponibilité d’API Clauses contractuelles Conformité/transparence tests d’intrusion Auditabilité, certifications Sécurité périmétrique Inter-VM threats Interfaces de gestion (www/API) Firewalling & IPS virtualisés/phys. Accès aux logs (Mgt / flux) Contrôle d’accès, confidentialité Fédération d’identité Authentification double facteur Accès aux logs Chiffrement « Full VM »
  • 18. sécurité IaaS – 3 approches (1/3) 18 FW Tenant A Switch(s)/Routeur(s) Firewall matériel Contextes virtualisés Interfaces réseau FW Tenant B Management Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Tenant B VM-1 NIC VM-2 NIC … Virtualisation N N N N N N vswitch Hyperviseur Virtualisation Réseau physique @ firewall matériel avec contextes virtualisés
  • 19. sécurité IaaS – 3 approches (2/3) 19 Switch(s)/Routeur(s) Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Tenant B VM-1 NIC VM-2 NIC … vswitch Hyperviseur Virtualisation Réseau physique @ VM Firewall N N N Hyperviseur appliance virtuelle firewall
  • 20. sécurité IaaS – 3 approches (3/3) 20 Switch(s)/Routeur(s) Interfaces réseau vswitch Tenant A VM-1 NIC VM-2 NIC VM-3 NIC Cloud Provider vswitch Hyperviseur Virtualisation Réseau physique @ Hyperviseur VM Firewall N N NN…N Firewalling intégré à l’hyperviseur
  • 22. éléments essentiels d’un contrat cloud France Telecom confidential22 Transparence de la stratégie sécurité Disponibilité et redondance Clauses de réversibilité sécurité des consoles de gestion et API IAM Accès réseaux are you cloud ready ? localisation géographique & nationalité du CSP gouvernance Intégration de la sécurité dans le contrat
  • 23. le coin du documentaliste 23 données à caractère personnel contractualisation appréhender les risques, définir sa stratégie et la dérouler Cloud Computing Risk Assessment CIGREF
  • 25. des questions ? des réponses !
  • 26. Build security-in from the start of the project Train your team and educate others to cloud security Integrate security in existing processes Get intimate with cloud IT & ops Take network & IT convergence as an opportunity Select your compliance frameworks & stick with them 6 recommandations clefs 26
  • 27. la sécurité au coeur d'un projet Cloud 27 Security Managers  review changes  enforce the policy  manage incidents  ensure compliance  lead the 27K ISMS Cloud Security Architects  own security design  define mitigation measures  validate implementation  ensure manageability Governance  define security strategy  global oversight security risk assessment risks mitigation plan high-level risks assessment legal obligations assessment design thinkcloud security strategy definition security impl. assistance security reviewssecurity penetration tests build & deploy operational security & continuous improvement operate build