Académique Documents
Professionnel Documents
Culture Documents
congrès
Paris
7, 8 et 9
février 2012
Cloud & Sécurité
une approche pragmatique pour les RSSI
?
L’ensemble des disciplines, technologies et modèles
commerciaux utilisés pour délivrer des capacités
informatiques (logiciel, plateformes, matériel) comme
un service à la demande
?
4 modèles de
déploiement
5 caractéristiques 3 modèles de
service
Software
À construire
as a Service (SaaS)
À construire
Platform as a
Service (PaaS)
Infrastructure
as a Service (IaaS)
4 modèles de déploiement
Privé Public
Hybride
Communautaire
Résumé de la vue du NIST
Resourc
e usage
e usage
Inactivity
Period
Average Usage
Average Usage
Time Time
Application
Application dans
dans un
un Plan
Plan de
de reprise
reprise d’activité
d’activité (PRA)
(PRA) Startup
Startup ou
ou croissance
croissance par
par acquisition
acquisition
Prototypage
Prototypage de
de produits
produits Fusions
Fusions && acquisitions
acquisitions
“Pic
“Pic non
non prédictible”
prédictible” “Pics
“Pics prédictibles”
prédictibles”
Resourc
e usage
Resourc
e usage
Time Time
Système
Système dede réponse
réponse d’urgence
d’urgence Traitement
Traitement de
de la
la paie
paie
Activité
Activité dépendant
dépendant des
des évènements
évènements courants
courants (ex:
(ex: News)
News) Périodes
Périodes de
de ventes,
ventes, dede vacances…
vacances…
Nouveaux services, nouveaux usages
Les services de Cloud sont les compagnons de tous les nouveaux
périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux
Cloud public et mobilité = même combat !
Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
2 organisations spécialisées sur le sujet
http://www.enisa.europa.eu/ https://cloudsecurityalliance.org/
2 documents de références http://www.enisa.europa.eu/act/rm/files/deliv
erables/cloud-computing-risk-
assessment/at_download/fullReport
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Pourquoi le choix Cloud Security Alliance ?
Cloud Controls Matrix
Critères de choix du fournisseur de Cloud
Evaluation des risques Evaluation focalisée sur la solution Cloud cible sur les 15
2 pour la solution Cloud domaines de la Cloud Security Alliance
Définition de stratégies
4 d’atténuation
Elaboration des contre-mesures sur les risques à atténuer
Incident Response
Exemple : application mobile
• Traitement et stockage
Cloud public de données
personnelles
• Respect des
réglementations
(localisation des
données, déclaration
CNIL..)
• Protection des
informations en transit
et au repos
Le questionnaire du boss
(mais assisté du RSSI)
Evaluation tolérance au risque
Evaluation tolérance au risque
Evaluation de la tolérance Evaluation globale à l’entreprise sur les 15 domaines
1 au risque de l’entreprise de la Cloud Security Alliance
COMPLETER LE TABLEAU “ENTERPRISE TOLERANCE”
Le questionnaire Sécurité
(le RSSI et « ses amis »)
Evaluation des risques de la solution
Questionnaire Sécurité : Pourquoi, pour qui ?
Evaluer le risque selon les 15 domaines de la CSA
Ciblé pour le service ou l’application à faire héberger sur le
Cloud
Concerne le RSSI
il s’agit d’un questionnaire sécurité !
ET le responsable/architecte du service
Qui connait le design de l’application
Exposition au risque
Le traitement du risque
Stratégies d’atténuation
Définition de stratégies
4 Elaboration des contre-mesures sur les risques à atténuer
d’atténuation