palais descongrèsParis7, 8 et 9février 2012
Cloud & Sécuritéune approche pragmatique pour lesRSSIJean-Yves Grasset, CISSP, CCSKStanislas Quastana, CISSP, CCSKArchitec...
Objectifs de cette session  Adopter ensemble un langage commun sur le Cloud  Poser de manière pragmatique les risques et c...
Qu’est-ce que le Cloud Computing ?                       ?  L’ensemble des disciplines, technologies et modèles commerciau...
4 modèles de                                                                                déploiement5 caractéristiques ...
5 caractéristiques       Self service                                    Elasticité                        Mise en commun ...
3 modèles de service                                       Software               À construire                            ...
4 modèles de déploiementPrivé                   Public           Hybride           Communautaire
Résumé de la vue du NIST Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/gr...
Quel cloud pour quel usage ?Faire le bon choix
Etape 1 : identifier et classifier vosapplicationsImpacts sur l’activité & impactsAttendre un peu et   Cloudification Clou...
Etape 2 : « cloudifier » en priorité lesapplications entrant dans un des modèlessuivants                  “On et Off”     ...
Nouveaux services, nouveaux usages  Les services de Cloud sont les compagnons de tous les  nouveaux périphériques mobiles ...
Cloud Computing : risques &challenges
Préoccupations majeures à l’adoptiondu Cloud                             48%                                  Sécurité des...
2 organisations spécialisées sur le sujet  http://www.enisa.europa.eu/   https://cloudsecurityalliance.org/
2 documents de références                                        http://www.enisa.europa.eu/act/rm/files/deli             ...
Pourquoi le choix Cloud SecurityAlliance ? Matrix   Cloud Controls    Critères de choix du fournisseur de Cloud  Pas uniq...
Une proposition de démarched’analyse de risques pour leCloudAvec démos à l’appui ;-)
La démarche
Exposition, impact et probabilitéd’occurrence     Impact                        Exposition au risque =                    ...
Domaines Risques Cloud & Tolérance                                                          Cloud Risk Control Area       ...
Exemple : application mobile                        • Traitement et stockage                          de données          ...
Le questionnaire du boss(mais assisté du RSSI)Evaluation tolérance aurisque
Evaluation tolérance au risque
Le questionnaire Sécurité(le RSSI et « ses amis »)Evaluation des risques de lasolution
Questionnaire Sécurité :Pourquoi, pour qui ?  Evaluer le risque selon les 15 domaines de la CSA  Ciblé pour le service ou ...
Evaluation des risques de la solutionPour les questions hors-contexte (Non-Applicable), la réponse sera « Very
Comparaison Exposition vs Tolérance(1/2)
Comparaison Exposition vs Tolérance(2/2)                       Tolérance au risque                      Exposition au risque
Le traitement du risque
Stratégies d’atténuation Chaque domaine « Remediate » doit être examiné pour identifier le ou les items « fautifs » et déf...
Stratégie de traitement du risque     Réduction du risque                     Transfert du risque   • Détermination de con...
Risques résiduelsCertains risques pourront être acceptés
SynthèseIl faut bien terminer….
Synthèse  Le Cloud Computing ne concerne pas exclusivement les  services hébergés par des sociétés tierces  Des organismes...
Ressources utiles – Quelques lectures  ENISA  http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-  computing-risk-...
Merci de votre attention 
Nächste SlideShare
Wird geladen in …5
×

Cloud & Sécurité : une approche pragmatique pour les RSSI

1.411 Aufrufe

Veröffentlicht am

L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Cloud & Sécurité : une approche pragmatique pour les RSSI

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Cloud & Sécuritéune approche pragmatique pour lesRSSIJean-Yves Grasset, CISSP, CCSKStanislas Quastana, CISSP, CCSKArchitectes - Microsoft France
  3. 3. Objectifs de cette session Adopter ensemble un langage commun sur le Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
  4. 4. Qu’est-ce que le Cloud Computing ? ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande
  5. 5. 4 modèles de déploiement5 caractéristiques 3 modèles de service Source de la définition : NIST – National Institute Standard and Technology
  6. 6. 5 caractéristiques Self service Elasticité Mise en commun de ressourcesAccès universel via le réseau Service mesurable
  7. 7. 3 modèles de service Software À construire as a Service (SaaS)À construire Platform as a Service (PaaS) Infrastructure as a Service (IaaS)
  8. 8. 4 modèles de déploiementPrivé Public Hybride Communautaire
  9. 9. Résumé de la vue du NIST Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
  10. 10. Quel cloud pour quel usage ?Faire le bon choix
  11. 11. Etape 1 : identifier et classifier vosapplicationsImpacts sur l’activité & impactsAttendre un peu et Cloudification Cloudification possible techniques réalisable dès réfléchir avant la aujourd’hui vaporisation ! Non critique pour  Non critique pour  Critique pour l’activité l’entreprise l’entreprise  Contraintes réglementaires Pas de contraintes  Peu de contrainte  Contenu à fort impact réglementaires réglementaires Contenu à faible impact  Contenu à impact moyen Non distribuée  Distribuée (géo /  Distribuée (géo / Nécessite peu de machines) machines) supervision  Nécessite peu de  Nécessite une supervision Petite base de données supervision avancée  Base de données  Grosse base de données moyenne
  12. 12. Etape 2 : « cloudifier » en priorité lesapplications entrant dans un des modèlessuivants “On et Off” “Croissance rapide” Resourc Resourc e usage e usage Inactivity Period Average Usage Average Usage Time Time Application dans un Plan de reprise d’activité (PRA) Startup ou croissance par acquisition Prototypage de produits Fusions & acquisitions “Pic non prédictible” “Pics prédictibles” Resourc e usage Resourc e usage Average Usage Average Usage Time Time Système de réponse d’urgence Traitement de la paie Activité dépendant des évènements courants (ex: News) Périodes de ventes, de vacances…
  13. 13. Nouveaux services, nouveaux usages Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux  Cloud public et mobilité = même combat !  Application mobile = Cloud Computing  Application pour réseaux sociaux = Cloud Computing Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT
  14. 14. Cloud Computing : risques &challenges
  15. 15. Préoccupations majeures à l’adoptiondu Cloud 48% Sécurité des services Craintes concernant laccès, localisation aux données, vie privée 42% Coûts variables et non prédictibles 34% Niveaux de service non adéquats (disponibilité, performances, fiabilité) 29% Augmente le risque pour lactivité commerciale 26% Perception de perte de contrôle de lIT et des choix technologiques 24% % de réponses (3 choix permis / personne)Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318répondants
  16. 16. 2 organisations spécialisées sur le sujet http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
  17. 17. 2 documents de références http://www.enisa.europa.eu/act/rm/files/deli verables/cloud-computing-risk- assessment/at_download/fullReport https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
  18. 18. Pourquoi le choix Cloud SecurityAlliance ? Matrix Cloud Controls  Critères de choix du fournisseur de Cloud Pas uniquement orienté analyse de risque Concentré sur le sujet « Sécurité du Cloud » Plus global  versus NIST (US) et ENISA (Europe)
  19. 19. Une proposition de démarched’analyse de risques pour leCloudAvec démos à l’appui ;-)
  20. 20. La démarche
  21. 21. Exposition, impact et probabilitéd’occurrence Impact Exposition au risque = Exposition Likely Catastrophic Damage High Probabilité*Impact to the Business Likely Net Loss to the Business Medium Likely No Realization of Business Objectives L’Exposition est Likely Partial Realization of évaluée par son effet Business Objectives sur le business Low Likely Full Realization of Business Objectives Low Medium High Probabilité
  22. 22. Domaines Risques Cloud & Tolérance Cloud Risk Control Area Enterprise Risk Tolerance Reputation & Brand Business Organizational Readiness Governance & Enterprise Risk Management Tolerance GovernanceCloud Security Alliance Domains Legal Issues : Contracts and Electronic Discovery Tolerate Catastrophic Compliance and Audit Management Damage to the Business Information Management & Data Security Tolerate Net Loss to the Business Interoperability and Portability Tolerate No Realization Application Security of Business Objectives Technical Encryption and Key Management Tolerate Partial Realization Identity and Access Management of Business Objectives Virtualization Tolerate Only Full Security as a Service Realization of Objectives Data Center Operations Operations Traditional Security, Business Continuity & Disaster Recovery Incident Response
  23. 23. Exemple : application mobile • Traitement et stockage de données personnelles • Respect des réglementations (localisation des données, déclaration CNIL..) • Protection des informations en transit et au repos
  24. 24. Le questionnaire du boss(mais assisté du RSSI)Evaluation tolérance aurisque
  25. 25. Evaluation tolérance au risque
  26. 26. Le questionnaire Sécurité(le RSSI et « ses amis »)Evaluation des risques de lasolution
  27. 27. Questionnaire Sécurité :Pourquoi, pour qui ? Evaluer le risque selon les 15 domaines de la CSA Ciblé pour le service ou l’application à faire héberger sur le Cloud Concerne le RSSI  il s’agit d’un questionnaire sécurité ! ET le responsable/architecte du service  Qui connait le design de l’application RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque
  28. 28. Evaluation des risques de la solutionPour les questions hors-contexte (Non-Applicable), la réponse sera « Very
  29. 29. Comparaison Exposition vs Tolérance(1/2)
  30. 30. Comparaison Exposition vs Tolérance(2/2) Tolérance au risque Exposition au risque
  31. 31. Le traitement du risque
  32. 32. Stratégies d’atténuation Chaque domaine « Remediate » doit être examiné pour identifier le ou les items « fautifs » et définir une stratégie d’atténuation
  33. 33. Stratégie de traitement du risque Réduction du risque Transfert du risque • Détermination de contre-mesures par • Transfert du risque vers le exemple : fournisseur • Choix du fournisseur, ajout de • Service Level Agreement, pénalités contrôles, modification • Assurance d’architecture, organisation, héberge ment multi-fournisseurs (dsiponibilité) Evitement du risque Acceptation du risque • Choix de ne pas déployer le • L’entreprise décide de tolérer le service dans le Cloud risque pour l’hébergement de cette • Choix d’un modèle de déploiement solution dans le Cloud (ex Cloud privé/hybride)
  34. 34. Risques résiduelsCertains risques pourront être acceptés
  35. 35. SynthèseIl faut bien terminer….
  36. 36. Synthèse Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-) Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.
  37. 37. Ressources utiles – Quelques lectures ENISA http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment/at_download/fullReport Cloud Security Alliance https://cloudsecurityalliance.org/guidance/csaguide.v3.0. pdf Microsoft Cloud http://www.microsoft.com/cloud
  38. 38. Merci de votre attention 

×