Security Dans Le Cloud Khaled BEN DRISS FST Tunis 30-Avril - 2013 V1-0-6 PDF

Scurit dans le Cloud Computing
Khaled BEN DRISS

Directeur BU ingnierie Logicielle
Khaled.bendriss@oxia-group.com
Tunis le 30 avril 2013
Khaled BEN DRISS

Ingnieur de l'Ecole Centrale de Lyon (ECL1991) Docteur de l'Universit Paris 6 ( P&MC 1994) Ancien Matre Assistant l'Ecole Polytechnique de Tunisie Directeur BU ingnierie Logicielle
& Consultant Senior : Architecte de Systme d'Information
Membre IEEE
(Executive committee 2011-2012 du Tunisia section )
www.oxia-group.com
Blog : http://net-progress.blogspot.com/
Tunisie FST 30/04/2013
khaled.bendriss@oxia-group.com
Le groupe OXIA en bref

Un leader des Systmes dInformation et du Nearshore au Maghreb :

Date de cration : 1998 Forme juridique : Socit Anonyme Effectif : +250 personnes (fin 2012) 85% de lactivit ralise en dehors de la Tunisie Filiale Paris Filiale Alger Certification ISO 9001 version 2000 (AFAQ QUAL/2005/25140 ) depuis 8 ans
Software Engineering
Business Solutions
IT Outsourcing
Management Consulting
Des projets mens dans plus de 20 pays
Pays dintervention de OXIA:

Tunisie, Algrie, Maroc, Libye, France, Cote divoire, Guine, Cameroun, Gabon, Egypte, Portugal, Burkina Faso, Sngal, Ghana, OXIA se situe principalement Tunis et Alger et
intervient au travers dun rseau de

partenaires locaux dans les autres pays dAfrique.
OXIA Offre et vision globale

Your Partner of choice
Industrie et Distribution Management Consulting Business Solutions Technologie et infogrance

Nous avons dvelopp une approche pragmatique de conseil en Supply Chain et un partenariat avec les solutions ERP leader du march
Services Financiers
Nous appuyons les acteurs rgionaux dans leur croissance en les aidant matriser leur processus et leur risques et en leur proposant des solutions mtiers leader dans leur domaine.
Tlcoms & Services

Conseil oprationnel et technologique pour appuyer un secteur en plein dveloppement, Centres de services et infogrance
Pour ses client Nearshore, OXIA offre des centres de services en ingnierie informatique et en infogrance la pointe de la technologie selon des normes de services les plus strictes (24h/24 7j/7 )
Quelques rfrences
Industrie Distribution Banking & Finance Telecom et services
SITEX
Nearshore
www.oxia-group.com
Document interne
V1-0-2
avril 2012
Objectif de la prsentation
N.B.
Le rvolutionnaire : IT = commodit
Une transformation de l'industrie est en cours : La suprmatie du web Browser
Electricit
Eau
Construire votre solution

PlugIn, souscrire & payer lusage

9
Tunisie FST 30/04/2013 khaled.bendriss@oxia-group.com
Le rvolutionnaire : IT = commodit
Une transformation de l'industrie est en cours : La suprmatie du web Browser
Electricit
Eau
Applications mtiers
Construire votre solution

PlugIn, souscrire & payer lusage

10
IT as a Service
11
IaaS, PaaS, SaaS : qui maintient quoi ?
Lentreprise
Lentreprise
Le fournisseur Cloud
12
Lentreprise
Plan
Plan de la prsentation
Les problmatiques de la scurit dans le cloud Les deux organismes connaitre CSA & ENISA
Les risques majeurs vue par lENISA

La Cloud Controls Matrix vue par le CSA Une dmarche en 5 tapes Synthse
13
Proccupations majeures ladoption du Cloud

Scurit des services Craintes concernant l'accs, localisation aux donnes, vie prive Cots variables et non prdictibles Niveaux de service non adquats (disponibilit, performances, fiabilit) Augmente le risque pour l'activit commerciale Perception de perte de contrle de l'IT et des choix technologiques 29% 26% 24% % de rponses (3 choix permis / personne)
Source : Gartner - Understanding and Managing SaaS and Cloud-Computing Risks - Tom Scholtz Septembre 2010. 318 rpondants
48% 42% 34%
14
Ce quil faut retenir
Le cloud napporte pas de grande nouveauts dun point de vue technologique
Le changement important se trouve dans le Business modle qui tend vers un plus grand partage de ressources
Avec le cloud les frontires de confiance sont largies vers les fournisseurs
15
Les risques en 3 catgories
Les mmes vieilles questions de scurit?
Autres problmes de scurit cause de la virtualisation
Nouveaux problmes de scurit en relation avec le Cloud computing
16
Les mmes vielles questions de scurit?
Perte de donnes
Les temps d'arrt Le Phishing Lattaque des Mots de passe Les rseaux de zombies (botnets) et autres logiciels malveillants
17
scurit de la virtualisation
LIsolation
Les Snapshots
restauration de l'tat Complexit Monte en charge Dure de vie des donnes
18
Nouveaux problmes de scurit -> en relation avec le Cloud
La responsabilit
Absence de primtre de scurit claire

Plus grande surface d'attaque Nouveaux Canaux latraux Le manque de vrifiabilit conformit la rglementation Scurit des donnes
19
Qui a le contrle ?
20
20
Absence de primtre de scurit claire
Peu de contrle sur l'emplacement physique ou sur le rseau des instances machines virtuelles dans le cloud
L'accs au rseau doit tre contrl pour chaque hte.
21
21
Plus grande surface d'attaque
Cloud Provider
Your Network
22
22
Nouveaux Canaux latraux Vous ne savez pas qui sont les machines virtuelles qui partagent la machine physique avec vous.
Les attaquants peuvent placer leurs machines virtuelles sur votre machine physique.
CPU cache de donnes
Partage des ressources physiques incluent
Prdiction de branchement CPU
Cache d'instructions du processeur
Dans le cas dun environnement avec un seul OS il est possible dextraire les cls cryptographiques avec ces attaques.
23
23
Le manque de vrifiabilit
Seul le fournisseur de cloud possde un accs au trafic complet du rseau, des logs de l'hyperviseur, des donnes de machines physiques.
Besoin d'auditabilit mutuelle

Capacit du fournisseur de cloud pour auditer les machines virtuelles clientes potentiellement malveillants ou infects.
Capacit du client du cloud de vrifier lenvironnement du fournisseur de cloud.

24
Plan

25
Les deux organisations de rfrence
https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/
26
ENISA est un centre dexcellence pour les membres de lunion Europenne et les institutions europennes sur la scurit rseau et de linformation, mettant des avis et recommandations et jouant le rle de relais dinformation pour les bonnes pratiques. De plus, lagence facilite les contacts entre les institutions europennes, les http://www.enisa.europa.eu/ tats membres et les acteurs privs du monde des affaires et de lindustrie.
27
La CSA est une organisation pilote par ses membres, charge de promouvoir lutilisation de bonnes pratiques pour fournir une assurance de la scurit dans le cadre de linformatique dans le Cloud. On retrouve parmi ses membres, https://cloudsecurityalliance.org/ Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi
28
Les deux documents de rfrences

https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport
29
Plan

30
La scurit dans le cloud & la notion dconomie dchelle

Les mesures de scurit sont moins onreuses lorsquelles sont mise en uvre plus grande chelle (par exemple, le filtrage, la gestion des correctifs, le durcissement de instances de machines virtuelles et les hyperviseurs, etc)
31
Les risques selon ENISA

European Network and Information Security Agency (ENISA) : Chef de file des travaux sur la scurit en Europe, LENISA a publi plusieurs documents pour guider une adoption scurise de linformatique en nuage dont : Cloud Computing: Benefits, Risks and Recommendations for Information Security. Publi en novembre 2009, ce rapport permet une valuation avise des risques de scurit et des avantages de linformatique en nuage.
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
32

L'valuation des risques de l'ENISA du cloud computing Au moins ces scnarios choisis: Migration pour les PME Gouvernement Analyse des risques (actifs, les vulnrabilits, Menaces) Recommandations Utilisation du framemork de l'ENISA et des risques mergents
Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA)
33
Processus dvaluation de risque
34
Focus sur les 8 risques considrs comme les plus critiques selon la matrice Mthode de classification des risques ISO/IEC 27005:2008
35
Les 8 risques majeurs
Risques politiques et organisationnels

R.2 : PERTE DE GOUVERNANCE R.3 : DEFIS LIES A LA CONFORMITE
Risques Techniques
R.9 : DEFAUT DISOLATION R.10 : UTILISATION MALICIEUSE INTERNE AU FOURNISSEUR R.11 : COMPROMISSION DE LINTERFACE DE GESTION R.14 : INEFFICACITE DE LA SUPPRESSION DES DONNEES
Risques Lgaux
R.22 : RISQUES LIES AUX CHANGEMENTS DE JURIDICTIONS R.23 : RISQUES LIES A LA PROTECTION DES DONNEES
Risques non-spcifiques au Cloud

R.26 : ADMINISTRATION RESEAU
Tunisie FST 30/04/2013 Scurit dans le Cloud Computing
36
Plan

37
Cloud Controls Matrix du CSA ( CCM du CSA)
Cloud Security Alliance (CSA) propose la Cloud Controls Matrix(CCM): conue pour apporter des principes de scurit fondamentale de manire guider les fournisseurs de Clouds et assister les futurs clients du Cloud dans lvaluation du risque de scurit gnral dun fournisseur. Critres de choix du fournisseur de Cloud Pas uniquement orient analyse de risque Concentr sur le sujet Scurit du Cloud
38
Cloud Controls Matrix CSA
La CCM propose un framework de contrles qui dtaille les concepts et les principes de scurit en ligne avec les conseils de la CSA dans ces domaines
Approche globale versus NIST (US) et ENISA (Europe)
Conformit Gouvernance des donnes Scurit des installations Ressources humaines Scurit de linformation Juridique Gestion des oprations Gestion du risque Gestion du changement Continuit de lactivit Architecture de scurit
39
Plan

40
dmarche danalyse de risques pour le Cloud en 5 tapes
41
Exposition, impact et probabilit doccurrence
Impact
High
Exposition Exposition au Likely Catastrophic risque = Damage to the Business Probabilit*ImpactLikely Net Loss to the
Business Likely No Realization of Business Objectives Likely Partial Realization of Business Objectives
Medium
LExposition est value par son effet sur le business
Low
Likely Full Realization of Business Objectives
Low
Medium
High
Probabilit
42
Domaines Risques Cloud & Tolrance

Cloud Risk Control Area
Business
Enterprise Risk Tolerance
Reputation & Brand Organizational Readiness Governance & Enterprise Risk Management Legal Issues : Contracts and Electronic Discovery Compliance and Audit Management Information Management & Data Security Interoperability and Portability Application Security
Governance
Tolerance
Tolerate Catastrophic Damage to the Business Tolerate Net Loss to the Business Tolerate No Realization of Business Objectives
Tolerate Partial Realization of Business Objectives Tolerate Only Full Realization of Objectives
Cloud Security Alliance Domains
Technical
Encryption and Key Management Identity and Access Management Virtualization Security as a Service
Operations
Data Center Operations Traditional Security, Business Continuity & Disaster Recovery Incident Response
43
Evaluation tolrance au risque
44
Questionnaire Scurit : Pourquoi, pour qui ?
Evaluer le risque selon les 15 domaines de la CSA Cibl pour le service ou lapplication faire hberger sur le Cloud Concerne le RSSI il sagit dun questionnaire scurit ! ET le responsable/architecte du service Qui connait le design de lapplication RSSI et le responsable de lapplication sauront valuer et proposer les contre-mesures pour le traitement du risque
45
Evaluation des risques de la solution
Pour les questions hors-contexte (Non-Applicable), la rponse sera Very Low

46
Comparaison Exposition vs Tolrance (1/2)
47
Comparaison Exposition vs Tolrance (2/2)
Tolrance au risque
Exposition au risque
48
Le traitement du risque : Stratgies dattnuation
Chaque domaine risqu doit tre examin pour identifier le ou les items fautifs et dfinir une stratgie dattnuation
49
Stratgie de traitement du risque

Rduction du risque
Transfert du risque
Transfert du risque vers le fournisseur Service Level Agreement, pnalits Assurance
Dtermination de contre-mesures par exemple : Choix du fournisseur, ajout de contrles, modification darchitecture, organisation, hbergement multifournisseurs (dsiponibilit)
Evitement du risque Choix de ne pas dployer le service dans le Cloud Choix dun modle de dploiement (ex Cloud priv/hybride)
Acceptation du risque Lentreprise dcide de tolrer le risque pour lhbergement de cette solution dans le Cloud
50
Risques rsiduels
Certains risques pourront tre accepts

51
Plan

52
Synthse & Recommandations La scurit dans le Cloud Computing ncessite une dmarche systmique et globale Les travaux des organismes NIST, CSA, ENISA sur le sujet Cloud & Scurit sont disponibles
Pour les RSSI : des approches danalyse de risque spcifiques au Cloud peuvent vous aider adopter plus sereinement le Cloud.
Evaluez le fournisseur en fonction des contrles de la matrice de la Cloud Security Alliance Utiliser la norme ISO 27001 comme une premire garantie sur une prise en compte srieuse de la scurit par le fournisseur
53
Besoin de framework commun pour la scurit du Cloud
ENIS & CSA sont relativement rcents et nont pas encore reu une reconnaissance gnrale.
Il sagit soit dtudes initiales dans le but de proposer un point de dpart un travail plus formel.
Le champ dtude et de recherche dans le domaine est encore ouvert
54
Rfrences
-Guide ENISA http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport -Guide CSA https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf -Cloud Controls Matrix CSA https://cloudsecurityalliance.org/ -Data Governance - Moving to Cloud Computing (Microsoft White Paper/ Trustworthy Computing) http://www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&id=6098 -Livre Securing the Cloud de Vic Winkler chez Syngress -Cloud & Scurit : Quels risques et quelles sont les questions importantes se poser avant de migrer vers le Cloud ? Jean-Yves GRASSET et Christophe VALLEE de Microsoft France aux techDays 2012 fev 2012 -Cloud & Scurit : une approche pragmatique pour les RSSI , Jean-Yves Grasset, CISSP , CCSK, Stanislas Quastana, CISSP , CCSK, Microsoft France aux techDays 2012 fev 2012
55
Khaled BEN DRISS

Directeur Associ Tel : +216 71 28 27 00 Mob.: +216 25 23 45 30 khaled.bendriss@oxia-group.com
11 rue Claude Bernard 1002 Le Belvdre Tunis, Tunisia Tl : +216 71 28 27 00 Fax : +216 71 28 27 05
www.oxia-group.com

Security Dans Le Cloud Khaled BEN DRISS FST Tunis 30-Avril - 2013 V1-0-6 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Security Dans Le Cloud Khaled BEN DRISS FST Tunis 30-Avril - 2013 V1-0-6 PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Scurit dans le Cloud Computing

Khaled BEN DRISS

Tunis le 30 avril 2013

Khaled BEN DRISS

(Executive committee 2011-2012 du Tunisia section )

Tunisie FST 30/04/2013

Le groupe OXIA en bref

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Des projets mens dans plus de 20 pays

Pays dintervention de OXIA:

intervient au travers dun rseau de

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

OXIA Offre et vision globale

Industrie et Distribution Management Consulting Business Solutions Technologie et infogrance

Tlcoms & Services

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Construire votre solution

PlugIn, souscrire & payer lusage

Construire votre solution

PlugIn, souscrire & payer lusage

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

IaaS, PaaS, SaaS : qui maintient quoi ?

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Les risques majeurs vue par lENISA

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Proccupations majeures ladoption du Cloud

48% 42% 34%

Tunisie FST 30/04/2013

Ce quil faut retenir

Le cloud napporte pas de grande nouveauts dun point de vue technologique

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Les risques en 3 catgories

Les mmes vieilles questions de scurit?

Autres problmes de scurit cause de la virtualisation

Nouveaux problmes de scurit en relation avec le Cloud computing

Scurit dans le Cloud Computing

Tunisie FST 30/04/2013

Les mmes vielles questions de scurit?

Tunisie FST 30/04/2013

Tunisie FST 30/04/2013

Nouveaux problmes de scurit -> en relation avec le Cloud

Absence de primtre de scurit claire

Tunisie FST 30/04/2013

Scurit dans le Cloud Computing

Absence de primtre de scurit claire

Scurit dans le Cloud Computing

Plus grande surface d'attaque

Scurit dans le Cloud Computing

CPU cache de donnes