palais des

congrès
Paris

7, 8 et 9
février 2012
Cloud & Sécurité
une approche pragmatique pour les RSSI

Jean-Yves Grasset, CISSP, CCSK

Stanislas Quastana, CISSP, CCSK
Architectes - Microsoft France
Objectifs de cette session
Adopter ensemble un langage commun sur le Cloud

Poser de manière pragmatique les risques et challenges à

l’adoption du Cloud Computing dans votre Système d’Information

Proposer une démarche d’analyse de risques et des outils pour

évaluer l’impact du Cloud Computing dans vos scénarios
Qu’est-ce que le Cloud Computing ?

?
L’ensemble des disciplines, technologies et modèles
commerciaux utilisés pour délivrer des capacités
informatiques (logiciel, plateformes, matériel) comme
un service à la demande
 ?
4 modèles de
déploiement

5 caractéristiques 3 modèles de
service

Source de la définition : NIST – National Institute Standard and Technology

 5 caractéristiques

Self service Elasticité

Mise en commun de ressources

Accès universel via le réseau Service mesurable

 3 modèles de service

Software
À construire
as a Service (SaaS)
À construire
Platform as a
Service (PaaS)

Infrastructure
as a Service (IaaS)
 4 modèles de déploiement

Privé Public

Hybride
Communautaire
Résumé de la vue du NIST

Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html

Quel cloud pour quel usage ?
Faire le bon choix
Public Privé
Etape 1 : identifier et classifier vos applications
Impacts sur l’activité & impacts techniques
Cloudification Cloudification possible Attendre un peu et réfléchir
réalisable dès aujourd’hui avant la vaporisation !
 Non critique pour  Non critique pour  Critique pour l’activité
l’entreprise l’entreprise  Contraintes réglementaires
 Pas de contraintes  Peu de contrainte  Contenu à fort impact
réglementaires réglementaires
 Contenu à faible impact  Contenu à impact moyen

 Non distribuée  Distribuée (géo / machines)  Distribuée (géo / machines)

 Nécessite peu de supervision  Nécessite peu de supervision  Nécessite une supervision
 Petite base de données  Base de données moyenne avancée
 Grosse base de données
Etape 2 : « cloudifier » en priorité les applications
entrant dans un des modèles suivants
“On
“On et
et Off”
Off” “Croissance
“Croissance rapide”
rapide”
Resourc

Resourc
e usage
e usage

Inactivity

Period
Average Usage
Average Usage

Time Time

Application
Application dans
dans un
un Plan
Plan de
de reprise
reprise d’activité
d’activité (PRA)
(PRA) Startup
Startup ou
ou croissance
croissance par
par acquisition
acquisition
Prototypage
Prototypage de
de produits
produits Fusions
Fusions && acquisitions
acquisitions

“Pic
“Pic non
non prédictible”
prédictible” “Pics
“Pics prédictibles”
prédictibles”

Resourc
e usage
Resourc
e usage

Average Usage Average Usage

Time Time

Système
Système dede réponse
réponse d’urgence
d’urgence Traitement
Traitement de
de la
la paie
paie
Activité
Activité dépendant
dépendant des
des évènements
évènements courants
courants (ex:
(ex: News)
News) Périodes
Périodes de
de ventes,
ventes, dede vacances…
vacances…
Nouveaux services, nouveaux usages
Les services de Cloud sont les compagnons de tous les nouveaux
périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux
 Cloud public et mobilité = même combat !

 Application mobile = Cloud Computing

 Application pour réseaux sociaux = Cloud Computing

Mettre en pilote ou en production une application destinée à plusieurs

milliers (ou +) d’utilisateurs est désormais possible même pour une très
petite société sans IT
Cloud Computing : risques & challenges
Préoccupations majeures à l’adoption du
Cloud Sécurité des services 48%

Craintes concernant l'accès, localisation aux données, vie privée 42%

Coûts variables et non prédictibles 34%

Niveaux de service non adéquats (disponibilité, performances, fiabilité) 29%

Augmente le risque pour l'activité commerciale 26%

Perception de perte de contrôle de l'IT et des choix technologiques 24%

% de réponses (3 choix permis / personne)

Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
2 organisations spécialisées sur le sujet

http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
2 documents de références http://www.enisa.europa.eu/act/rm/files/deliv
erables/cloud-computing-risk-
assessment/at_download/fullReport

https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Pourquoi le choix Cloud Security Alliance ?
Cloud Controls Matrix
 Critères de choix du fournisseur de Cloud

Pas uniquement orienté analyse de risque

Concentré sur le sujet « Sécurité du Cloud »
Plus global
 versus NIST (US) et ENISA (Europe)
Une proposition de démarche
d’analyse de risques pour le Cloud
Avec démos à l’appui ;-)
La démarche
Evaluation de la tolérance Evaluation globale à l’entreprise sur les 15 domaines de la Cloud
1 au risque de l’entreprise Security Alliance

Evaluation des risques Evaluation focalisée sur la solution Cloud cible sur les 15
2 pour la solution Cloud domaines de la Cloud Security Alliance

Mise en évidence des risques acceptables et des risques à

Comparaison des risques
3 de la solution vs tolérance
atténuer par comparaison entre la tolérance et l’exposition au
risque de la solution

Définition de stratégies
4 d’atténuation
Elaboration des contre-mesures sur les risques à atténuer

Evaluation des risques Evaluation des risques résiduels après atténuation

5 résiduels
Exposition, impact et probabilité
d’occurrence
Impact
Exposition au risque = Exposition
Likely Catastrophic Damage
High
Probabilité*Impact to the Business
Likely Net Loss to the
Business

Medium Likely No Realization of

Business Objectives L’Exposition est
Likely Partial Realization of évaluée par son effet
Business Objectives sur le business
Low
Likely Full Realization of
Business Objectives

Low Medium High

Probabilité
Domaines Risques Cloud & Tolérance
Cloud Risk Control Area Enterprise Risk Tolerance
Business
Reputation & Brand
Organizational Readiness
Governance & Enterprise Risk Management Tolerance
Governance
Cloud Security Alliance Domains

Legal Issues : Contracts and Electronic Discovery Tolerate Catastrophic

Compliance and Audit Management Damage to the Business

Information Management & Data Security Tolerate Net Loss to the

Business
Interoperability and Portability
Tolerate No Realization
Application Security
of Business Objectives
Technical

Encryption and Key Management

Tolerate Partial Realization
Identity and Access Management of Business Objectives
Virtualization
Tolerate Only Full
Security as a Service Realization of Objectives

Data Center Operations

Operations

Traditional Security, Business Continuity & Disaster Recovery

Incident Response
Exemple : application mobile
• Traitement et stockage
Cloud public de données
personnelles
• Respect des
réglementations
(localisation des
données, déclaration
CNIL..)
• Protection des
informations en transit
et au repos
Le questionnaire du boss
(mais assisté du RSSI)
Evaluation tolérance au risque
Evaluation tolérance au risque
Evaluation de la tolérance Evaluation globale à l’entreprise sur les 15 domaines
1 au risque de l’entreprise de la Cloud Security Alliance
COMPLETER LE TABLEAU “ENTERPRISE TOLERANCE”
Le questionnaire Sécurité
(le RSSI et « ses amis »)
Evaluation des risques de la solution
Questionnaire Sécurité : Pourquoi, pour qui ?
Evaluer le risque selon les 15 domaines de la CSA
Ciblé pour le service ou l’application à faire héberger sur le
Cloud
Concerne le RSSI
 il s’agit d’un questionnaire sécurité !

ET le responsable/architecte du service
 Qui connait le design de l’application

RSSI et le responsable de l’application sauront évaluer et

proposer les contre-mesures pour le traitement du risque
Evaluation des risques de la solution
Evaluation des risques Evaluation focalisée sur la « solution Cloud cible » sur les 15
2 pour la solution Cloud domaines de la Cloud Security Alliance

COMPLETER LE QUESTIONNAIRE DU DOMAINE 1 AU DOMAINE 15

Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very Low »

Comparaison Exposition vs Tolérance (1/2)
en évidence des risques acceptables et des risques à
Comparaison des risques Mise
3 atténuer par comparaison entre la tolérance et l’exposition
de la solution vs tolérance au risque de la solution
au risque de la solution

MISE EN ÉVIDENCE DES RISQUES A TRAITER

Comparaison Exposition vs Tolérance (2/2)
en évidence des risques acceptables et des risques à
Comparaison des risques Mise
3 atténuer par comparaison entre la tolérance et l’exposition
de la solution vs tolérance au risque de la solution
au risque de la solution
Tolérance au risque

Exposition au risque
Le traitement du risque
Stratégies d’atténuation
Définition de stratégies
4 Elaboration des contre-mesures sur les risques à atténuer
d’atténuation

IDENTIFIER LES ITEMS « FAUTIFS »

Chaque domaine « Remediate » doit être examiné pour identifier le ou les

items « fautifs » et définir une stratégie d’atténuation
Stratégie de traitement du risque
Réduction du risque Transfert du risque
• Détermination de contre-mesures par • Transfert du risque vers le fournisseur
exemple : • Service Level Agreement, pénalités
• Choix du fournisseur, ajout de • Assurance
contrôles, modification d’architecture,
organisation, hébergement multi-
fournisseurs (dsiponibilité)

Evitement du risque Acceptation du risque

• Choix de ne pas déployer le service • L’entreprise décide de tolérer le risque
dans le Cloud pour l’hébergement de cette solution
• Choix d’un modèle de déploiement dans le Cloud
(ex Cloud privé/hybride)
Risques résiduels
Evaluation des risques
5 Evaluation des risques résiduels après atténuation
résiduels

IDENTIFIER LES RISQUES RÉSIDUELS

Certains risques pourront être acceptés

Synthèse

Il faut bien terminer….

Synthèse
Le Cloud Computing ne concerne pas exclusivement les
services hébergés par des sociétés tierces

Des organismes reconnus (NIST, CSA, ENISA…) ont déjà

beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs
ressources et ne réinventez pas la poudre ;-)

Pour les RSSI : des approches d’analyse de risque spécifiques au

Cloud peuvent vous aider à adopter plus sereinement le Cloud.
Ressources utiles – Quelques lectures
ENISA
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-
computing-risk-assessment/at_download/fullReport
Cloud Security Alliance
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Microsoft Cloud
http://www.microsoft.com/cloud
Merci de votre attention 