SlideShare ist ein Scribd-Unternehmen logo
1 von 48
Downloaden Sie, um offline zu lesen
The OWASP Foundation 
http://www.owasp.org 
Ce que vous devriez savoir 
sur le “Cloud computing” 
Yann Rivière 
Patrick Leclerc
Yann Rivière 
@yannriviere 
• 14 ans d’expérience 
• 3 ans au Canada, le reste en France 
• Défense, Télécom, Consultation 
• Architecte en sécurité 
• Directeur de la pratique architecture chez EGYDE 
CISSP, CISM, CCSK, CRISC, ITILv3 
Conseils 
• Membre du conseil d’administration d’ISACA 
Québec
Patrick Leclerc 
• 20 ans d’expérience en développement, 
architecture logicielle et sécurité 
• Architecte logiciel et sécurité applicative 
Directeur de la pratique sécurité 
applicative chez EGYDE Conseils 
• Leader du chapitre OWASP Québec 
• Chroniqueur occasionnel du magazine 
SÉCUS
Plan de la présentation 
• Mise en contexte du Cloud Computing 
• Modèles de service et de déploiement 
• Responsabilités et enjeux de sécurité 
• Sécurité applicative et Cloud 
• Retours sur expérience 
|4
Mise en contexte du 
Cloud Computing 
|5
6 
Définition 
7 
Définition 
Le Cloud computing est un modèle de service 
permettant l’omniprésence et l’accès à la demande via 
le réseau d’un partage de ressources informatiques 
configurables (par exemple réseaux, serveurs, stockage, 
applications et services) de manière commode avec 
possibilité de mise à disposition et de restitution 
rapide dans un effort minimal de gestion ou 
d’interaction avec le fournisseur du service. 
NIST SP800-145 : The NIST Definition of Cloud Computing
8 
Historique 
Origine du terme Cloud Computing 
• Cloud : Utilisé en science pour décrire agglomération 
d’objets distant dont les détails intéressent peu dans 
un contexte donné 
• Métaphore : Utilisé dans les diagrammes pour 
représenter les réseau téléphoniques et maintenant 
l’internet
9 
Historique 
1950 : Partage des accès au mainframe 
• Time sharing et CPU 
1970 : Concept de la machine virtuelle 
• Système IBM CP-40 : Premier OS a permettre la virtualisation 
1990 : Les compagnies offrent des accès VPN (Virtual Private Network) 
• vs connexion point à point 
1999 : Salesforce.com 
• Conceptualise la délivrance d’application d’entreprise via site Web 
2004 : Amazon AWS 
• SQS : Simple Queue Service 
• 2006 : EC2 et S3 
2008 : Google App Engine preview et Microsoft annonce Azure 
• 2010 : commercialisation Azure 
• 2011 : Google App Engine sort du mode preview 
2014 : vous utilisez tous les jours le Cloud 
• Netflix 
• Dropbox 
• Gmail 
• Amazon 
• Etc…
Caractéristiques essentielles du Cloud 
Service à la demande (As a Service) 
Accès par le réseau et selon des mécanismes standards IP 
• HTTP/s par exemple 
Partagé en général 
Extensible (scalable) 
• Augmentation et diminution des capacités de calcul, stockage, 
bande passante etc.. 
Service mesuré 
• Contrôles, supervision et reporting des ressources utilisées 
• Facturation
Modèles de service et 
de déploiement 
|11
Les modèles services 
3 différents modèles 
IaaS 
(Infrastructure as a Service) 
PaaS 
(Platform as a Service) 
SaaS 
(Software as a Service) 
Stockage 
Calcul 
Réseau 
Niveau d’abstraction 
Développement Applications
Les modèles de déploiement 
Organisation B 
13 
Organisation A 
Cloud Public 
Cloud Privé 
Cloud Privé 
Cloud 
Communautaire 
Cloud Privé 
Cloud Public 
Cloud Hybride
|14 
Responsabilités et 
enjeux de sécurité
15 
Les responsabilités de sécurité dans le Cloud 
Ligne des responsabilités La sécurité est de votre responsabilité 
IaaS PaaS SaaS 
Données 
Application 
Machine virtuelle 
Hyperviseur 
Stockage 
Réseau 
Données 
Application 
Machine virtuelle 
Hyperviseur 
Stockage 
Réseau 
Données 
Application 
Machine virtuelle 
Hyperviseur 
Stockage 
Réseau
16 
Quelques faits de 2014 
10 Janvier 2014 : Dropbox, Plus de 175 millions d’utilisateurs 
• 2 jours de panne, erreur dans un script de maintenance 
https://tech.dropbox.com/2014/01/outage-post-mortem/ 
24 Janvier 2014 : Google 
• Gmail, Docs, Calendar et documents s’arretent pendant 30 mns 
• Erreur dans le un système interne qui génère des configuration pour les serveurs 
http://googleblog.blogspot.fr/2014/01/todays-outage-for-several-google.html 
14 Mars 2014 : Dropbox disparait , prise 2 
• Le service n’est plus fonctionnel pendant une heure 
• Aucun détail sur la cause de l’incident…. 
https://twitter.com/dropbox_support/status/444498998636728320 
17 Mars : Google disparait, prise 2 
• Talk, Hangouts, Voice et App Engine down pendant 3.5 heures 
• Maintenance qui a mal tournée, self Denial of Service 
http://static.googleusercontent.com/media/www.google.com/en/us/appsstatus/ir/foyrkcdqoojjapj.pdf 
20 Avril 2014 : Les TV intelligents de Samsung ne fonctionnent plus 
• Toute les SmartTV Samsung présentaient des erreurs aux utilisateurs 
• Cause : incendie dans la salle serveur de Samsung 
http://www.pcworld.com/article/2146160/fire-at-samsung-facility-affects-website-media-portal.html
17 
Quelques faits de 2014 
12 Juin 2014 : iCloud n’est plus accessible pendant quelques heures 
• Aucune explication de la part d’Apple 
23 Juin 2014 : Microsoft Exchange et Lync ne sont plus fonctionnel pendant quelques heures 
• Logiciel de communication de la suite Office 365, Vidéoconférence, tchat 
• Courriels 
• Cause : problème de routage (Lync) et problème d’annuaire (Exchange) 
24 Juin 2014 : Microsoft Exchange Online n’est plus fonctionnel pendant 9 heures 
• Problème de réseau… 
30 Aout 2014 : Compte iCloud piratés et photos de célébrités diffusées 
• Pas de faille dans le service 
• Seulement des attaques ciblées (login, mot de passe et questions de sécurité)
18 
Les points d’attaque du Cloud 
Internet 
SaaS 
PaaS 
IaaS 
Humain 
Hyperviseur 
Interfaces, APIs 
Réseau virtuel, Mémoire, CPU Système d’exploitation 
Outils d’administration 
Moteur d’exécution 
Application 
Humain 
Poste de travail 
Réseau 
Console d’administration
19 
(« Notorious Nine », Threat Working Group de la CSA) 
1. Vol de données 
Les menaces 
 Cross-VM attacks (http://www.cs.unc.edu/~yinqian/papers/crossvm.pdf) 
2. Perte de données 
 Effacement, destruction de données (Mat Honan, Sidekick) 
3. Vol de comptes d’administration 
 Perte de confiance dans toute l’infrastructure 
4. API non sécurisées 
 Authentification en clair, authentification faible 
5. Déni de service 
 Pris dans les bouchons. Attendre et payer ou couper le service 
6. Utilisateurs internes malintentionnés 
 Un espion chez votre fournisseur, un employé corrompu ? 
7. Abus des services Cloud (fournisseurs…) 
 Puissance de calcul (cracking), Attaque DDoS 
8. Insuffisance dans les vérifications préalables (due diligence) 
 Mentalité « Ruée vers l’or » 
9. Vulnérabilités induites par le partage de ressources 
 Un seul composant piraté expose de multiples clients
20 
Top 10 OWASP des risques du Cloud
21 
Les risques du Cloud 
R1: Responsabilités et risques aux données 
Les degrés de responsabilité et de contrôle sur les données 
varient en fonction du modèle de services Cloud utilisé. En fait, vous 
risquez de perdre le contrôle de vos données… 
• Peut-être devriez-vous vous assurer de pouvoir récupérer vos 
données en cas de changement de fournisseur ou en cas de 
fermeture de votre fournisseur? 
• Votre organisation (vos données) peut se retrouver captive de 
votre fournisseur
22 
Les risques du Cloud (suite) 
R2: Authentification / Fédération des identités utilisateurs 
• Quelle(s) identité(s) vos utilisateurs utiliseront-ils sur le Cloud? 
• Comment s’authentifieront vos différentes clientèles? 
• Assurez-vous de garder le contrôle des identités de vos 
utilisateurs tout au long de votre transition vers le Cloud. 
• Sinon ils auront à gérer plusieurs codes d’accès et vous 
compliquerez significativement votre gestion des identités et 
des accès. 
• Cela facilitera les éventuelles intégrations de données entre 
vos différents fournisseurs de Cloud
23 
Les risques du Cloud (suite) 
R3: Conformité aux lois et contextes règlementaire 
Ce qui est perçu comme sécuritaire dans un pays/région peut ne pas 
l’être dans un autre en raison des différentes lois et règlements 
applicables. 
• Où seront hébergées vos données? 
R4: Continuité des affaires et robustesse 
Lorsque vous déployez vos applications sur le Cloud, vous déléguez 
aussi la responsabilité de la continuité des vos activités à votre 
fournisseur de cloud. 
• Est-ce que celui-ci peut vous garantir un niveau de service 
approprié en cas de catastrophe?
24 
Les risques du Cloud (suite) 
R5: Confidentialité et l’usage des données privées 
Au moment où un utilisateur utilise les réseaux sociaux débute la 
collecte des données sur l’individu. La plupart des réseaux 
sociaux offrent par défaut un usage peu restrictif de vos données 
personnelles (partage, data mining, collecte d’informations sur les 
comportements des utilisateurs, publicités ciblée, etc.) 
Vérifiez les clauses de confidentialités, d’usage secondaire des 
données et de la collecte d’informations sur les comportements 
des utilisateurs. 
• Quelles garanties le fournisseur peut démontrer qu’il respecte 
l’usage prévu? 
• Comment voir qui a accédé aux données?
25 
Les risques du Cloud (suite) 
R6: Intégration des services et des données 
Pour éviter l’interception et le vol des données en transit, la 
sécurisation des communications est indispensable: soit par le 
chiffrement du protocole de transport et/ou des messages sécurisés. 
• Étudiez toutes les protections offertes, notamment pour d’établir 
des connexions avec des niveaux de sécurité plus élevés entre 
machines. 
• Vos données secrètes doivent être chiffrées avant d’être déposées 
sur le Cloud. Il peut être même préférable de ne pas stocker 
inutilement de telles données sur le Cloud.
26 
Les risques du Cloud (suite) 
R7: Multi-location et sécurité physique 
Dans le Cloud les ressources et les services sont partagés entre 
plusieurs clients (CPU, mémoire, réseau, stockage, bases de 
données). Des contrôles doivent assurer que les locataires ne 
débordent pas accidentellement (ou délibérément) en dehors de leur 
zone de confinement. 
• Les mécanismes d’isolation des machines virtuelles et la 
séparations des accès par adresses IP sont à la base de la 
sécurité sur le Cloud. 
• Les applications ayant un profil de risque plus élevé ne devraient 
préférablement pas être déployées sur les mêmes instances que 
les applications ayant un niveau de sécurité plus faible.
27 
Les risques du Cloud (suite) 
R8: Analyse des incidents 
Dans le cas d'un incident de sécurité , les applications et services 
hébergés chez un fournisseur de cloud sont plus difficiles à analyser 
• Les incidents de sécurité sont plus complexes à investiguer 
lorsque la journalisation est distribuée sur plusieurs serveurs 
répartis dans des différents centres de données. 
• La colocation de données (appartenant à plusieurs clients 
différents) résidant sur des mêmes disques physiques, peut 
engendrer certaines complications dans le cas d’une saisie 
d’enquête.
28 
Les risques du Cloud (suite) 
R9: Sécurité de l’infrastructure et des applications 
L'infrastructure et les applications doivent être durcies, configurées 
et maintenues rigoureusement… en observant les meilleures 
pratiques de l'industrie. 
Même dans le Cloud, la segmentation des zones de sécurité et les 
architectures n-tiers sont des concepts à prendre en compte pour 
assurer la sécurité. 
• La séparation des tâches et des rôles d’administrations doivent 
être dûment contrôlés. 
• Des audits de contrôles périodiques devraient être réalisés par 
une firme indépendante. 
• Sécurisez rigoureusement les interfaces d’administration. 
• Les clefs d’accès aux données doivent être protégées et 
changées sur une base régulière. 
• Évaluez les risques et prenez les mesures appropriées!
29 
Les risques du Cloud (suite) 
R10: Exposition des environnements de développement 
Dans la plupart des organisations les environnements de 
développement et de pré-production sont moins sécurisés que 
ceux de productions. 
• Si dans le Cloud ces environnements ne sont pas sécurisés 
adéquatement, ils peuvent représenter de forts risques d’accès 
non-autorisés, de modifications et de vol d’informations.
30 
Les risques du Cloud (bonus!) 
Optimisation des applications 
Puisque vous payez à l’utilisation, une application non-optimisée 
occasionnera des coûts supplémentaires: 
• Mémoire 
• CPU 
• Stockage 
• Communications 
• Ne pas conserver ou faire transiter plus de données qu’il n’en faut 
• Concevez donc vos systèmes comme si les ressources étaient 
limitées!
Sécurité applicative et 
Cloud Computing 
|31
32 
Les risques de sécurité applicative 
sur le Cloud 
• D’un point de vue applicatif, le Cloud n’est qu’une nouvelle 
façon de déployer les ressources informatiques. 
• Contrairement à certaines perceptions, le Cloud n’opère aucune 
magie quant à la sécurité des applications: 
• une application non sécuritaire à l’interne le sera tout autant 
dans le Cloud, sinon plus... 
• Si la sécurité d’une application n’est pas déjà assurée à 
l’intérieur de votre organisation, elle ne pourra l’être davantage 
sur le Cloud.
33 
Les risques de sécurité applicative 
sur le Cloud 
• Dans le Cloud vous devrez prendre en compte l’augmentation de 
l’exposition de votre application, ou plutôt l’augmentation de la 
probabilité d’une attaque, et ce tant au niveau infrastructure 
qu’au niveau applicatif. 
• Si vous migrez sur le Cloud une application autrefois conçu pour 
un usage interne, vous aurez certainement à composer avec une 
augmentation de la probabilité d’usages abusifs. 
• Il est encore plus important dans un développement de 
solutions Cloud d’anticiper les menaces tôt dans le cycle de 
développement qu’il ne l’est pour un développement traditionnel.
Réservez une part de vos économies 
|34
35 
Top 10 (2013) des risques applicatifs
Retours d’expériences 
|36
Retour d’expérience SaaS : 
Google Apps for Business 
Outils Web de bureautique et de collaboration (payant) 
• Gmail : Courriel Web 
• Google Calendar : Agenda en ligne 
• Google Docs : Documents, tableur, dessins et présentations 
• Google Site : Site Intranet/Extranet par Google 
• Google Video : Youtube Like pour entreprise 
Vise une clientèle d’affaire et gouvernementale 
Différent de ce que vous connaissez 
37
Mon expérience avec Google Apps 
• Caractère d’urgence : choix financier 
• Groupe de travail « Google Apps Security » 
– 13 officiers de sécurité 
– Centraliser les informations et animer le groupe 
– Collaborer avec Google 
• Démarche 
– Parcourir et lister toutes les fonctionnalités des Apps 
– Résultat : Matrice de 105 fonctionnalités 
– Affectation d’une « cote de risque » à chaque fonctionnalité 
• Stocké dans un document Google Apps (spreadsheet) 
• Remonter les points aux équipes Google 
– Tenter de faire corriger 
38
Certifications Google (2009) 
Google Apps est certifié SSAE 16 et ISAE 3402 et FISMA 
• Statement on Standards for Attestation Engagements 16 
• International Standard on Assurance Engagements (ISAE) 3402 
• Federal Information Security Management Act (2002) 
 Assurance raisonnable qu’il y a des contrôles dans l’organisation 
• Sécurité logique 
• Protection des renseignements personnels 
• Sécurité physique des centre de données 
• Redondance et incidents sont gérés 
• Gestion du changement (code review and testing before production release) 
• Organisationnel : mécanismes de communication dans l’organisation 
 Le rapport inclus 
• Description des contrôles de l’organisation 
• Les tests détaillés des contrôles sur une période de 6 mois 
• 1 fois par année 
• Première Suite de Cloud Computing a être approuvée pour une utilisation 
gouvernementale US 
– Pourquoi ? : Gmail and Google Agenda sont ségrégués dans des centres de 
données aux USA (ne quittent pas le territoire) 
39
Quelques remarques sur la sécurité en 
de la solution (2009) 
• Authentification 
– Seulement login + Mot de passe ? 
• Protection des données 
– Mode hors ligne (Google Gear) ? 
• APIs Google 
– Contournement de l’authentification déportée? 
• Console d’administration 
– Disponible mondialement ? 
• Utilisateur 
– Je suis un utilisateur tout puissant ! 
• Portabilité 
• Export et téléchargement des données 
40
Choses à savoir… 
Une image insérée dans un document Google est publique 
• https://docs.google.com/document/d/17JwEGk76jKLv1fOd17yB5VvykiyplI0lHpBs 
nSEk-Qk/edit 
• Preuves : http://bit.ly/YqPelu , http://bit.ly/RzK0BB 
41
Choses à savoir… 
• Sécurité des tableurs par colonne : 
– peut être outrepassée 
• Utilisateur en lecture seule 
– Pouvoir d’écraser le document 
• Supprimer un utilisateur : Supprimer tout ses documents 
– Pas de retour arrière 
• Visualisation des données partagées: 
– N’existe pas 
– Outils tiers/API 
42
|43 
Références 
• OWASP Cloud Top 10 Security Risks 
• https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2% 
80%90_10_Project 
• Notorious Nine (TOP 9 des menaces) 
https://cloudsecurityalliance.org/research/top-threats 
• NIST SP800-145 : http://csrc.nist.gov/publications/nistpubs/800- 
145/SP800-145.pdf 
• https://cloudsecurityalliance.org
OWASP World 
L’OWASP (www.owasp.org) est 
une organisation mondiale à but 
non-lucratif (501c3) 
Elle a pour mission de rendre la 
sécurité applicative visible afin de 
permettre au gens et organisations de 
prendre des décisions informées 
sur les vrais risques de sécurité 
des applications. 
Tout le matériel OWASP est 
disponible gratuitement sous 
licence « open software ». 
OWASP demeure neutre et 
indépendante des fournisseurs de 
produits et de services
45 
Plusieurs ressources OWASP... 
• Top 10 (2013) des risques de sécurité applicatives 
• OWASP Secure Coding Practices 
• OWASP Cheat sheets 
• OWASP Code Review Guide 
• OWASP Testing Guide 
• OWASP ASVS 2.0 (Application Security Verification Standard) 
• OWASP Zed Attack Proxy (ZAP) 
• OWASP Webgoat et BWA (Broken Web Application) 
• OWASP podcasts, vidéos, webinars, présentations, livres… 
• Open SAMM 
De tout pour tous les profils!
46 
Impliquez vous! Supportez-nous! 
Bénéfices des membres OWASP: $50/an 
• Rabais sur les conférences 
• Une adresse de courriel: toi@owasp.org 
• Droit de vote dans les élections 
• Reconnaissance sur le site de l’OWASP 
• 40% du montant peut être versé au chapitre 
• Pour nous commanditer, suivre le lien « donate » sur 
https://www.owasp.org/index.php/Quebec_City
47 
Supportez OWASP! 
Devenir membre pour un don annuel de: 
• Individuel $50 
• Corporatif $5000 
Permet à OWASP de supporter les initiatives: 
projets, listes de distribution, 
conférences, podcasts, bourses et coordination des 
activités mondiales…
|48 
Merci!

Weitere ähnliche Inhalte

Was ist angesagt?

Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingNicolas Hennion
 
Demain tous dans le cloud - journée web innovation lorient 2011
Demain tous dans le cloud -  journée web innovation lorient 2011Demain tous dans le cloud -  journée web innovation lorient 2011
Demain tous dans le cloud - journée web innovation lorient 2011dgerges
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Cloud computing & logiciels libres JDLL 2009
Cloud computing & logiciels libres JDLL 2009Cloud computing & logiciels libres JDLL 2009
Cloud computing & logiciels libres JDLL 2009Philippe Scoffoni
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing FICEL Hemza
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Veille technologique sur le cloud computing
Veille technologique sur le cloud computingVeille technologique sur le cloud computing
Veille technologique sur le cloud computingHanen Bensaad
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nulsOlivier DUPONT
 
Cegid livre blanc Cloud
Cegid livre blanc CloudCegid livre blanc Cloud
Cegid livre blanc CloudPROJECT SI
 
Cloud computing : risques et périls
Cloud computing : risques et périls Cloud computing : risques et périls
Cloud computing : risques et périls Olivier Leclere
 

Was ist angesagt? (20)

Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud Computing
 
Demain tous dans le cloud - journée web innovation lorient 2011
Demain tous dans le cloud -  journée web innovation lorient 2011Demain tous dans le cloud -  journée web innovation lorient 2011
Demain tous dans le cloud - journée web innovation lorient 2011
 
Développeurs, bienvenue dans le Cloud
Développeurs, bienvenue dans le CloudDéveloppeurs, bienvenue dans le Cloud
Développeurs, bienvenue dans le Cloud
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 
Cloud computing & logiciels libres JDLL 2009
Cloud computing & logiciels libres JDLL 2009Cloud computing & logiciels libres JDLL 2009
Cloud computing & logiciels libres JDLL 2009
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Introduction au Cloud Computing
Introduction au Cloud Computing Introduction au Cloud Computing
Introduction au Cloud Computing
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Veille technologique sur le cloud computing
Veille technologique sur le cloud computingVeille technologique sur le cloud computing
Veille technologique sur le cloud computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nuls
 
Cegid livre blanc Cloud
Cegid livre blanc CloudCegid livre blanc Cloud
Cegid livre blanc Cloud
 
Cloud computing : risques et périls
Cloud computing : risques et périls Cloud computing : risques et périls
Cloud computing : risques et périls
 

Andere mochten auch

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 

Andere mochten auch (20)

Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIA
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Training 2.0
Training 2.0Training 2.0
Training 2.0
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
Sla in cloud
Sla in cloudSla in cloud
Sla in cloud
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 

Ähnlich wie OWASP Quebec ce que vous devriez savoir sur le Cloud Computing

Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfFootballLovers9
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfFootballLovers9
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chapaichafarahsouelmi
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"AnDaolVras
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASmohamed hadrich
 
Créer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfCréer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfKhalidKadmiri
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performanceMouna Maazoun
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfhasna920888
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Vincent Misson
 
Cloud computing
Cloud computingCloud computing
Cloud computingmourad50
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueFrederic Desprez
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 

Ähnlich wie OWASP Quebec ce que vous devriez savoir sur le Cloud Computing (20)

Adopter le cloud avec microsoft
Adopter le cloud avec microsoftAdopter le cloud avec microsoft
Adopter le cloud avec microsoft
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack proposition
 
Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdf
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdf
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chap
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAAS
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Créer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdfCréer une application Cloud native_v7.pdf
Créer une application Cloud native_v7.pdf
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Cloud generalites enjeux_v0
Cloud generalites enjeux_v0Cloud generalites enjeux_v0
Cloud generalites enjeux_v0
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologique
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing

  • 1. The OWASP Foundation http://www.owasp.org Ce que vous devriez savoir sur le “Cloud computing” Yann Rivière Patrick Leclerc
  • 2. Yann Rivière @yannriviere • 14 ans d’expérience • 3 ans au Canada, le reste en France • Défense, Télécom, Consultation • Architecte en sécurité • Directeur de la pratique architecture chez EGYDE CISSP, CISM, CCSK, CRISC, ITILv3 Conseils • Membre du conseil d’administration d’ISACA Québec
  • 3. Patrick Leclerc • 20 ans d’expérience en développement, architecture logicielle et sécurité • Architecte logiciel et sécurité applicative Directeur de la pratique sécurité applicative chez EGYDE Conseils • Leader du chapitre OWASP Québec • Chroniqueur occasionnel du magazine SÉCUS
  • 4. Plan de la présentation • Mise en contexte du Cloud Computing • Modèles de service et de déploiement • Responsabilités et enjeux de sécurité • Sécurité applicative et Cloud • Retours sur expérience |4
  • 5. Mise en contexte du Cloud Computing |5
  • 7. 7 Définition Le Cloud computing est un modèle de service permettant l’omniprésence et l’accès à la demande via le réseau d’un partage de ressources informatiques configurables (par exemple réseaux, serveurs, stockage, applications et services) de manière commode avec possibilité de mise à disposition et de restitution rapide dans un effort minimal de gestion ou d’interaction avec le fournisseur du service. NIST SP800-145 : The NIST Definition of Cloud Computing
  • 8. 8 Historique Origine du terme Cloud Computing • Cloud : Utilisé en science pour décrire agglomération d’objets distant dont les détails intéressent peu dans un contexte donné • Métaphore : Utilisé dans les diagrammes pour représenter les réseau téléphoniques et maintenant l’internet
  • 9. 9 Historique 1950 : Partage des accès au mainframe • Time sharing et CPU 1970 : Concept de la machine virtuelle • Système IBM CP-40 : Premier OS a permettre la virtualisation 1990 : Les compagnies offrent des accès VPN (Virtual Private Network) • vs connexion point à point 1999 : Salesforce.com • Conceptualise la délivrance d’application d’entreprise via site Web 2004 : Amazon AWS • SQS : Simple Queue Service • 2006 : EC2 et S3 2008 : Google App Engine preview et Microsoft annonce Azure • 2010 : commercialisation Azure • 2011 : Google App Engine sort du mode preview 2014 : vous utilisez tous les jours le Cloud • Netflix • Dropbox • Gmail • Amazon • Etc…
  • 10. Caractéristiques essentielles du Cloud Service à la demande (As a Service) Accès par le réseau et selon des mécanismes standards IP • HTTP/s par exemple Partagé en général Extensible (scalable) • Augmentation et diminution des capacités de calcul, stockage, bande passante etc.. Service mesuré • Contrôles, supervision et reporting des ressources utilisées • Facturation
  • 11. Modèles de service et de déploiement |11
  • 12. Les modèles services 3 différents modèles IaaS (Infrastructure as a Service) PaaS (Platform as a Service) SaaS (Software as a Service) Stockage Calcul Réseau Niveau d’abstraction Développement Applications
  • 13. Les modèles de déploiement Organisation B 13 Organisation A Cloud Public Cloud Privé Cloud Privé Cloud Communautaire Cloud Privé Cloud Public Cloud Hybride
  • 14. |14 Responsabilités et enjeux de sécurité
  • 15. 15 Les responsabilités de sécurité dans le Cloud Ligne des responsabilités La sécurité est de votre responsabilité IaaS PaaS SaaS Données Application Machine virtuelle Hyperviseur Stockage Réseau Données Application Machine virtuelle Hyperviseur Stockage Réseau Données Application Machine virtuelle Hyperviseur Stockage Réseau
  • 16. 16 Quelques faits de 2014 10 Janvier 2014 : Dropbox, Plus de 175 millions d’utilisateurs • 2 jours de panne, erreur dans un script de maintenance https://tech.dropbox.com/2014/01/outage-post-mortem/ 24 Janvier 2014 : Google • Gmail, Docs, Calendar et documents s’arretent pendant 30 mns • Erreur dans le un système interne qui génère des configuration pour les serveurs http://googleblog.blogspot.fr/2014/01/todays-outage-for-several-google.html 14 Mars 2014 : Dropbox disparait , prise 2 • Le service n’est plus fonctionnel pendant une heure • Aucun détail sur la cause de l’incident…. https://twitter.com/dropbox_support/status/444498998636728320 17 Mars : Google disparait, prise 2 • Talk, Hangouts, Voice et App Engine down pendant 3.5 heures • Maintenance qui a mal tournée, self Denial of Service http://static.googleusercontent.com/media/www.google.com/en/us/appsstatus/ir/foyrkcdqoojjapj.pdf 20 Avril 2014 : Les TV intelligents de Samsung ne fonctionnent plus • Toute les SmartTV Samsung présentaient des erreurs aux utilisateurs • Cause : incendie dans la salle serveur de Samsung http://www.pcworld.com/article/2146160/fire-at-samsung-facility-affects-website-media-portal.html
  • 17. 17 Quelques faits de 2014 12 Juin 2014 : iCloud n’est plus accessible pendant quelques heures • Aucune explication de la part d’Apple 23 Juin 2014 : Microsoft Exchange et Lync ne sont plus fonctionnel pendant quelques heures • Logiciel de communication de la suite Office 365, Vidéoconférence, tchat • Courriels • Cause : problème de routage (Lync) et problème d’annuaire (Exchange) 24 Juin 2014 : Microsoft Exchange Online n’est plus fonctionnel pendant 9 heures • Problème de réseau… 30 Aout 2014 : Compte iCloud piratés et photos de célébrités diffusées • Pas de faille dans le service • Seulement des attaques ciblées (login, mot de passe et questions de sécurité)
  • 18. 18 Les points d’attaque du Cloud Internet SaaS PaaS IaaS Humain Hyperviseur Interfaces, APIs Réseau virtuel, Mémoire, CPU Système d’exploitation Outils d’administration Moteur d’exécution Application Humain Poste de travail Réseau Console d’administration
  • 19. 19 (« Notorious Nine », Threat Working Group de la CSA) 1. Vol de données Les menaces  Cross-VM attacks (http://www.cs.unc.edu/~yinqian/papers/crossvm.pdf) 2. Perte de données  Effacement, destruction de données (Mat Honan, Sidekick) 3. Vol de comptes d’administration  Perte de confiance dans toute l’infrastructure 4. API non sécurisées  Authentification en clair, authentification faible 5. Déni de service  Pris dans les bouchons. Attendre et payer ou couper le service 6. Utilisateurs internes malintentionnés  Un espion chez votre fournisseur, un employé corrompu ? 7. Abus des services Cloud (fournisseurs…)  Puissance de calcul (cracking), Attaque DDoS 8. Insuffisance dans les vérifications préalables (due diligence)  Mentalité « Ruée vers l’or » 9. Vulnérabilités induites par le partage de ressources  Un seul composant piraté expose de multiples clients
  • 20. 20 Top 10 OWASP des risques du Cloud
  • 21. 21 Les risques du Cloud R1: Responsabilités et risques aux données Les degrés de responsabilité et de contrôle sur les données varient en fonction du modèle de services Cloud utilisé. En fait, vous risquez de perdre le contrôle de vos données… • Peut-être devriez-vous vous assurer de pouvoir récupérer vos données en cas de changement de fournisseur ou en cas de fermeture de votre fournisseur? • Votre organisation (vos données) peut se retrouver captive de votre fournisseur
  • 22. 22 Les risques du Cloud (suite) R2: Authentification / Fédération des identités utilisateurs • Quelle(s) identité(s) vos utilisateurs utiliseront-ils sur le Cloud? • Comment s’authentifieront vos différentes clientèles? • Assurez-vous de garder le contrôle des identités de vos utilisateurs tout au long de votre transition vers le Cloud. • Sinon ils auront à gérer plusieurs codes d’accès et vous compliquerez significativement votre gestion des identités et des accès. • Cela facilitera les éventuelles intégrations de données entre vos différents fournisseurs de Cloud
  • 23. 23 Les risques du Cloud (suite) R3: Conformité aux lois et contextes règlementaire Ce qui est perçu comme sécuritaire dans un pays/région peut ne pas l’être dans un autre en raison des différentes lois et règlements applicables. • Où seront hébergées vos données? R4: Continuité des affaires et robustesse Lorsque vous déployez vos applications sur le Cloud, vous déléguez aussi la responsabilité de la continuité des vos activités à votre fournisseur de cloud. • Est-ce que celui-ci peut vous garantir un niveau de service approprié en cas de catastrophe?
  • 24. 24 Les risques du Cloud (suite) R5: Confidentialité et l’usage des données privées Au moment où un utilisateur utilise les réseaux sociaux débute la collecte des données sur l’individu. La plupart des réseaux sociaux offrent par défaut un usage peu restrictif de vos données personnelles (partage, data mining, collecte d’informations sur les comportements des utilisateurs, publicités ciblée, etc.) Vérifiez les clauses de confidentialités, d’usage secondaire des données et de la collecte d’informations sur les comportements des utilisateurs. • Quelles garanties le fournisseur peut démontrer qu’il respecte l’usage prévu? • Comment voir qui a accédé aux données?
  • 25. 25 Les risques du Cloud (suite) R6: Intégration des services et des données Pour éviter l’interception et le vol des données en transit, la sécurisation des communications est indispensable: soit par le chiffrement du protocole de transport et/ou des messages sécurisés. • Étudiez toutes les protections offertes, notamment pour d’établir des connexions avec des niveaux de sécurité plus élevés entre machines. • Vos données secrètes doivent être chiffrées avant d’être déposées sur le Cloud. Il peut être même préférable de ne pas stocker inutilement de telles données sur le Cloud.
  • 26. 26 Les risques du Cloud (suite) R7: Multi-location et sécurité physique Dans le Cloud les ressources et les services sont partagés entre plusieurs clients (CPU, mémoire, réseau, stockage, bases de données). Des contrôles doivent assurer que les locataires ne débordent pas accidentellement (ou délibérément) en dehors de leur zone de confinement. • Les mécanismes d’isolation des machines virtuelles et la séparations des accès par adresses IP sont à la base de la sécurité sur le Cloud. • Les applications ayant un profil de risque plus élevé ne devraient préférablement pas être déployées sur les mêmes instances que les applications ayant un niveau de sécurité plus faible.
  • 27. 27 Les risques du Cloud (suite) R8: Analyse des incidents Dans le cas d'un incident de sécurité , les applications et services hébergés chez un fournisseur de cloud sont plus difficiles à analyser • Les incidents de sécurité sont plus complexes à investiguer lorsque la journalisation est distribuée sur plusieurs serveurs répartis dans des différents centres de données. • La colocation de données (appartenant à plusieurs clients différents) résidant sur des mêmes disques physiques, peut engendrer certaines complications dans le cas d’une saisie d’enquête.
  • 28. 28 Les risques du Cloud (suite) R9: Sécurité de l’infrastructure et des applications L'infrastructure et les applications doivent être durcies, configurées et maintenues rigoureusement… en observant les meilleures pratiques de l'industrie. Même dans le Cloud, la segmentation des zones de sécurité et les architectures n-tiers sont des concepts à prendre en compte pour assurer la sécurité. • La séparation des tâches et des rôles d’administrations doivent être dûment contrôlés. • Des audits de contrôles périodiques devraient être réalisés par une firme indépendante. • Sécurisez rigoureusement les interfaces d’administration. • Les clefs d’accès aux données doivent être protégées et changées sur une base régulière. • Évaluez les risques et prenez les mesures appropriées!
  • 29. 29 Les risques du Cloud (suite) R10: Exposition des environnements de développement Dans la plupart des organisations les environnements de développement et de pré-production sont moins sécurisés que ceux de productions. • Si dans le Cloud ces environnements ne sont pas sécurisés adéquatement, ils peuvent représenter de forts risques d’accès non-autorisés, de modifications et de vol d’informations.
  • 30. 30 Les risques du Cloud (bonus!) Optimisation des applications Puisque vous payez à l’utilisation, une application non-optimisée occasionnera des coûts supplémentaires: • Mémoire • CPU • Stockage • Communications • Ne pas conserver ou faire transiter plus de données qu’il n’en faut • Concevez donc vos systèmes comme si les ressources étaient limitées!
  • 31. Sécurité applicative et Cloud Computing |31
  • 32. 32 Les risques de sécurité applicative sur le Cloud • D’un point de vue applicatif, le Cloud n’est qu’une nouvelle façon de déployer les ressources informatiques. • Contrairement à certaines perceptions, le Cloud n’opère aucune magie quant à la sécurité des applications: • une application non sécuritaire à l’interne le sera tout autant dans le Cloud, sinon plus... • Si la sécurité d’une application n’est pas déjà assurée à l’intérieur de votre organisation, elle ne pourra l’être davantage sur le Cloud.
  • 33. 33 Les risques de sécurité applicative sur le Cloud • Dans le Cloud vous devrez prendre en compte l’augmentation de l’exposition de votre application, ou plutôt l’augmentation de la probabilité d’une attaque, et ce tant au niveau infrastructure qu’au niveau applicatif. • Si vous migrez sur le Cloud une application autrefois conçu pour un usage interne, vous aurez certainement à composer avec une augmentation de la probabilité d’usages abusifs. • Il est encore plus important dans un développement de solutions Cloud d’anticiper les menaces tôt dans le cycle de développement qu’il ne l’est pour un développement traditionnel.
  • 34. Réservez une part de vos économies |34
  • 35. 35 Top 10 (2013) des risques applicatifs
  • 37. Retour d’expérience SaaS : Google Apps for Business Outils Web de bureautique et de collaboration (payant) • Gmail : Courriel Web • Google Calendar : Agenda en ligne • Google Docs : Documents, tableur, dessins et présentations • Google Site : Site Intranet/Extranet par Google • Google Video : Youtube Like pour entreprise Vise une clientèle d’affaire et gouvernementale Différent de ce que vous connaissez 37
  • 38. Mon expérience avec Google Apps • Caractère d’urgence : choix financier • Groupe de travail « Google Apps Security » – 13 officiers de sécurité – Centraliser les informations et animer le groupe – Collaborer avec Google • Démarche – Parcourir et lister toutes les fonctionnalités des Apps – Résultat : Matrice de 105 fonctionnalités – Affectation d’une « cote de risque » à chaque fonctionnalité • Stocké dans un document Google Apps (spreadsheet) • Remonter les points aux équipes Google – Tenter de faire corriger 38
  • 39. Certifications Google (2009) Google Apps est certifié SSAE 16 et ISAE 3402 et FISMA • Statement on Standards for Attestation Engagements 16 • International Standard on Assurance Engagements (ISAE) 3402 • Federal Information Security Management Act (2002)  Assurance raisonnable qu’il y a des contrôles dans l’organisation • Sécurité logique • Protection des renseignements personnels • Sécurité physique des centre de données • Redondance et incidents sont gérés • Gestion du changement (code review and testing before production release) • Organisationnel : mécanismes de communication dans l’organisation  Le rapport inclus • Description des contrôles de l’organisation • Les tests détaillés des contrôles sur une période de 6 mois • 1 fois par année • Première Suite de Cloud Computing a être approuvée pour une utilisation gouvernementale US – Pourquoi ? : Gmail and Google Agenda sont ségrégués dans des centres de données aux USA (ne quittent pas le territoire) 39
  • 40. Quelques remarques sur la sécurité en de la solution (2009) • Authentification – Seulement login + Mot de passe ? • Protection des données – Mode hors ligne (Google Gear) ? • APIs Google – Contournement de l’authentification déportée? • Console d’administration – Disponible mondialement ? • Utilisateur – Je suis un utilisateur tout puissant ! • Portabilité • Export et téléchargement des données 40
  • 41. Choses à savoir… Une image insérée dans un document Google est publique • https://docs.google.com/document/d/17JwEGk76jKLv1fOd17yB5VvykiyplI0lHpBs nSEk-Qk/edit • Preuves : http://bit.ly/YqPelu , http://bit.ly/RzK0BB 41
  • 42. Choses à savoir… • Sécurité des tableurs par colonne : – peut être outrepassée • Utilisateur en lecture seule – Pouvoir d’écraser le document • Supprimer un utilisateur : Supprimer tout ses documents – Pas de retour arrière • Visualisation des données partagées: – N’existe pas – Outils tiers/API 42
  • 43. |43 Références • OWASP Cloud Top 10 Security Risks • https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2% 80%90_10_Project • Notorious Nine (TOP 9 des menaces) https://cloudsecurityalliance.org/research/top-threats • NIST SP800-145 : http://csrc.nist.gov/publications/nistpubs/800- 145/SP800-145.pdf • https://cloudsecurityalliance.org
  • 44. OWASP World L’OWASP (www.owasp.org) est une organisation mondiale à but non-lucratif (501c3) Elle a pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité des applications. Tout le matériel OWASP est disponible gratuitement sous licence « open software ». OWASP demeure neutre et indépendante des fournisseurs de produits et de services
  • 45. 45 Plusieurs ressources OWASP... • Top 10 (2013) des risques de sécurité applicatives • OWASP Secure Coding Practices • OWASP Cheat sheets • OWASP Code Review Guide • OWASP Testing Guide • OWASP ASVS 2.0 (Application Security Verification Standard) • OWASP Zed Attack Proxy (ZAP) • OWASP Webgoat et BWA (Broken Web Application) • OWASP podcasts, vidéos, webinars, présentations, livres… • Open SAMM De tout pour tous les profils!
  • 46. 46 Impliquez vous! Supportez-nous! Bénéfices des membres OWASP: $50/an • Rabais sur les conférences • Une adresse de courriel: toi@owasp.org • Droit de vote dans les élections • Reconnaissance sur le site de l’OWASP • 40% du montant peut être versé au chapitre • Pour nous commanditer, suivre le lien « donate » sur https://www.owasp.org/index.php/Quebec_City
  • 47. 47 Supportez OWASP! Devenir membre pour un don annuel de: • Individuel $50 • Corporatif $5000 Permet à OWASP de supporter les initiatives: projets, listes de distribution, conférences, podcasts, bourses et coordination des activités mondiales…