Post on 15-Dec-2014
description
1
13 mars 2014
Comment protéger vos informations « sensibles »
2
CLOUD : Comment protéger vos informations "sensibles" ?
Ely de TRAVIESO
PHONESEC27 boulevard Charles Moretti
13014 Marseille
http://www.phonesec.com
Bernard FORAYLA MANUFACTURE numérique
37 rue Guibal
Pôle Média Belle de Mai
13003 Marseillehttp://www.lamanufacturenumerique.fr
3
• AGENDA :
– Les risques du Cloud
– Maîtriser sa sécurité dans les offres Cloud
– Questions / Réponses
CLOUD : Comment protéger vos informations "sensibles" ?
4
• Les Risques du CLOUD
CLOUD : Comment protéger vos informations "sensibles" ?
Ely de Travieso - PHONESECConsultant en lutte contre la Cybercriminalité
PARTIE 1
5
• Définition du CLOUD :Le Cloud Computing désigne une infrastructure informatique dans
laquelle les données et les logiciels sont conservés et traités à distance dans le data center du fournisseur d’informatique en nuage ou dans des centres interconnectés au moyen d’une excellente bande passante indispensable à la fluidité du système, accessibles en tant que service par le biais d’Internet.
CLOUD : Comment protéger vos informations "sensibles" ?
Définition du CLOUD :• L’ explosion des données dans tous les domaines.• La connectivité n’importe quand, n’importe où et sur n’importe quel appareil.• La réorganisation des équipes informatiques• LA SÉCURITÉ
• Challenge :
6
• Les Risques du CloudLa sécurité des données est un enjeu capital pour les PME.
Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :
– La confidentialité des données– La réversibilité des données– La perte de données– La continuité et la qualité du service– La territorialité
CLOUD : Comment protéger vos informations "sensibles" ?
7
CLOUD : Comment protéger vos informations "sensibles" ?
8
• Les mesures de protectionLa sécurité des données est un enjeu capital pour les PME.
Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :
– L’analyse de risque– Le benchmark des offres Cloud– Le test d’intrusion – Le contrat commercial
CLOUD : Comment protéger vos informations "sensibles" ?
9
• Sécurité dans les contrats CLOUD
CLOUD : Comment protéger vos informations "sensibles" ?
Bernard FORAY – LA MANUFACTURE Coordinateur pédagogique - Formateur
PARTIE 2
10
• Définition retenue : doutes et questions soulevées– SaaS : C’est un modèle offrant des services sur
demande…• suffisamment testés ?
– …à des ressources mutualisées…• segmentation entre clients ?
– …qui peuvent être rapidement fournies…• impasse sur des fondamentaux de sécurité ?
– …et mises à jour tout en minimisant les efforts de gestion et d’interaction avec le fournisseur.
CLOUD : Comment protéger vos informations "sensibles" ?
11
• Un renvoi à d’autres questions– Pose la question de la classification des données : sait-on
ce que l’on met dans le Xaas ?– Le peu de transparence des fournisseurs (parfois leur
manque de savoir-faire) et malgré un modèle économique qui peut être attrayant, il reste un doute sur la confidentialité
– Une nécessité de « customisation »• SLA, mutualisation versus segmentation entre clients, réversibilité,
sécurité des données, conformité, accès aux logs, notifications et réponses aux incidents de sécurité, propriété intellectuelle…
– Etablissement des responsabilités : RACI
CLOUD : Comment protéger vos informations "sensibles" ?
12
• Degré de sécurité et de continuité
CLOUD : Comment protéger vos informations "sensibles" ?
Responsabilité Service Client Fournisseur
Plutôt client IaaS Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve
Sécurité physique du matériel. Régulateur de la bande passante réseau
Equilibrée Paas Sécurité au sein de l’application
Sécurité de la plateforme
Plutôt fournisseur Saas Règles d’accès utilisateurDécision de déploiement du service
Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve
13
13
• Transfert de données pour l’initialisation du service
• Sécurisation réseau• Accès aux services et moyens
d’accès• Gestion des identifiants• Continuité de service
(pénalités/bonus)• Conditions de télémaintenance par
le fournisseur• Maintenance corrective sécurité
(impact mutualisation)• Traitement des données
– I&L : localisation des données
– Cryptage, sauvegardes, lieux de stockage
• Audit et tests intrusifs• Propriété des données• Assurances• Réversibilité (récupération,
destruction chez le prestataire)• Cascade de sous-traitants &
conformité des contrats de travail• Gouvernance (P.A.S)• Clauses limitant la possibilité pour
le prestataire de faire des choix économiques impactant la sécurité du service
– Validation de choix technologiques sans ingérence
– Correctifs de sécurité– Audit de sécurité
Nature du document : Public Interne X Restreint Confidentiel Secret
Fil rouge pour bâtir les contratsCLOUD : Comment protéger vos informations "sensibles" ?
14
• Pour plus d’information :– ENISA– Cloud Security Alliance
• matrice de contrôle croisée avec Cobit, ISO 27xxx…– Syntec : un guide contractuel du Saas– ANSSI : maîtriser les risques de l’infogérance– Des guides oui ! …mais… difficile d’appliquer un référentiel ISO
27xxx ou Sas70 sur un modèle encore peu « maîtrisé » et des processus «élastiques»
CLOUD : Comment protéger vos informations "sensibles" ?
15
CLOUD : Comment protéger vos informations "sensibles" ?
QUESTIONS / REPONSESQUESTIONS / REPONSES
16
CLOUD : Comment protéger vos informations "sensibles" ?
Bernard FORAYbf@lamanum.fr
06.51.51.03.60
Ely de TRAVIESOe.detravieso@phonesec.com TEL : 06.29.42.42.86
17
Le dispositif Performance PME TIC
• Cette action s’insère dans le dispositif régional
• Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies de l’Information et de la Communication
• www.lenumeriquepourmonentreprise.com
18
Continuons à échanger …
: twitter.com/competitic
: communauté competitic
: lenumeriquepourmonentreprise.com
19
Retrouvez le support de présentation sur le portail
• Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages »
• Consultez le support de cette présentation : www.lenumeriquepourmonentreprise.com
20
La prochaine action
Découvrez l’impression 3D
20 mars 2014