palais des

congrès

Paris

7, 8 et 9

février 2012

Cloud & Sécuritéune approche pragmatique pour les

RSSI

Jean-Yves Grasset, CISSP, CCSK

Stanislas Quastana, CISSP, CCSK

Architectes - Microsoft France

Adopter ensemble un langage commun sur le Cloud

Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information

Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios

Objectifs de cette session

Qu’est-ce que le Cloud Computing ?

L’ensemble des disciplines, technologies et

modèles commerciaux utilisés pour délivrer des

capacités informatiques (logiciel, plateformes,

matériel) comme un service à la demande

?

3 modèles de

service5 caractéristiques

4 modèles de

déploiement

Source de la définition : NIST – National Institute Standard and Technology

Self service

Accès universel via le réseau

Elasticité

Service mesurable

Mise en commun de ressources

5 caractéristiques

Infrastructure

as a Service (IaaS)

Platform as a

Service (PaaS)

Software

as a Service (SaaS)

À construire

À construire

3 modèles de service

4 modèles de déploiement

Privé Public

Hybride

Communautaire

Résumé de la vue du NIST

Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html

Quel cloud pour quel usage ? Faire le bon choix

Etape 1 : identifier et classifier vos

applications

Impacts sur l’activité & impacts techniquesCloudification

réalisable dès

aujourd’hui

Cloudification possible Attendre un peu et

réfléchir avant la

vaporisation !

Non critique pour l’entreprise

Pas de contraintes réglementaires

Contenu à faible impact

Non critique pour l’entreprise

Peu de contrainte réglementaires

Contenu à impact moyen

Critique pour l’activité

Contraintes réglementaires

Contenu à fort impact

Non distribuée

Nécessite peu de supervision

Petite base de données

Distribuée (géo / machines)

Nécessite peu de supervision

Base de données moyenne

Distribuée (géo / machines)

Nécessite une supervision avancée

Grosse base de données

Etape 2 : « cloudifier » en priorité les

applications entrant dans un des modèles

suivants “On et Off”

Application dans un Plan de reprise d’activité (PRA)Prototypage de produits

Resou

rc

e u

sag

e

Time

Inactivity

Period

UsageAverage

“Croissance rapide”

Startup ou croissance par acquisitionFusions & acquisitions

Resou

rc

e u

sag

e

Time

Average Usage

“Pic non prédictible”

Système de réponse d’urgenceActivité dépendant des évènements courants (ex: News)

Resou

rc

e u

sag

e

Time

Average Usage

“Pics prédictibles”

Traitement de la paiePériodes de ventes, de vacances…

Resou

rc

e u

sag

e

Time

Average Usage

Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux

Cloud public et mobilité = même combat !

Application mobile = Cloud Computing

Application pour réseaux sociaux = Cloud Computing

Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT

Nouveaux services, nouveaux usages

Cloud Computing : risques &

challenges

Préoccupations majeures à l’adoption

du Cloud

Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants

48%

42%

34%

29%

26%

24%

Sécurité des services

Craintes concernant l'accès, localisation aux données, vie privée

Coûts variables et non prédictibles

Niveaux de service non adéquats (disponibilité, performances, fiabilité)

Augmente le risque pour l'activité commerciale

Perception de perte de contrôle de l'IT et des choix technologiques

% de réponses (3 choix permis / personne)

2 organisations spécialisées sur le sujet

https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/

2 documents de références

https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf

http://www.enisa.europa.eu/act/rm/files/deli

verables/cloud-computing-risk-

assessment/at_download/fullReport

Cloud Controls Matrix

Critères de choix du fournisseur de Cloud

Pas uniquement orienté analyse de risque

Concentré sur le sujet « Sécurité du Cloud »

Plus global

versus NIST (US) et ENISA (Europe)

Pourquoi le choix Cloud Security

Alliance ?

Une proposition de démarche

d’analyse de risques pour le

CloudAvec démos à l’appui ;-)

La démarche

Exposition, impact et probabilité

d’occurrenceExposition

Likely Full Realization of Business Objectives

Likely Partial Realization of Business Objectives

Likely No Realization of Business Objectives

Likely Net Loss to the Business

Likely Catastrophic Damage to the Business

Impact

Probabilité

Low

Medium

High

Low Medium High

L’Exposition est évaluée par son effet

sur le business

Exposition au risque = Probabilité*Impact

Domaines Risques Cloud & ToléranceG

ove

rnan

ceTe

chn

ical

Operations

Bu

sin

ess

Organizational Readiness

Reputation & Brand

Legal Issues : Contracts and Electronic Discovery

Governance & Enterprise Risk Management

Compliance and Audit Management

Application Security

Encryption and Key Management

Information Management & Data Security

Interoperability and Portability

Identity and Access Management

Virtualization

Security as a Service

Incident Response

Data Center Operations

Traditional Security, Business Continuity & Disaster Recovery

Tolerance

Tolerate Only Full Realization of Objectives

Tolerate Partial Realization of Business Objectives

Tolerate No Realization of Business Objectives

Tolerate Net Loss to the Business

Tolerate Catastrophic Damage to the Business

Cloud Risk Control Area Enterprise Risk Tolerance

Clo

ud

Se

curi

ty A

llian

ce D

om

ain

s

Exemple : application mobile

• Traitement et stockage

de données

personnelles

• Respect des

réglementations

(localisation des

données, déclaration

CNIL..)

• Protection des

informations en transit

et au repos

Le questionnaire du boss(mais assisté du RSSI)

Evaluation tolérance au

risque

Evaluation tolérance au risque

Le questionnaire Sécurité(le RSSI et « ses amis »)

Evaluation des risques de la

solution

Evaluer le risque selon les 15 domaines de la CSA

Ciblé pour le service ou l’application à faire héberger sur le Cloud

Concerne le RSSI

il s’agit d’un questionnaire sécurité !

ET le responsable/architecte du service

Qui connait le design de l’application

RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque

Questionnaire Sécurité :

Pourquoi, pour qui ?

Evaluation des risques de la solution

Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very

Low »

Comparaison Exposition vs Tolérance

(1/2)

Comparaison Exposition vs Tolérance

(2/2)

Tolérance au risque

Exposition au risque

Le traitement du risque

Stratégies d’atténuation

Chaque domaine « Remediate » doit être examiné pour identifier le ou

les items « fautifs » et définir une stratégie d’atténuation

Stratégie de traitement du risque

Evitement du risque• Choix de ne pas déployer le

service dans le Cloud

• Choix d’un modèle de déploiement

(ex Cloud privé/hybride)

Transfert du risque• Transfert du risque vers le

fournisseur

• Service Level Agreement, pénalités

• Assurance

Acceptation du risque• L’entreprise décide de tolérer le

risque pour l’hébergement de cette

solution dans le Cloud

Réduction du risque• Détermination de contre-mesures par

exemple :

• Choix du fournisseur, ajout de

contrôles, modification

d’architecture, organisation, héberge

ment multi-fournisseurs

(dsiponibilité)

Risques résiduels

Certains risques pourront être acceptés

Synthèse

Il faut bien terminer….

Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces

Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-)

Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.

Synthèse

ENISA

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-

computing-risk-assessment/at_download/fullReport

Cloud Security Alliance

https://cloudsecurityalliance.org/guidance/csaguide.v3.0.

pdf

Microsoft Cloud

http://www.microsoft.com/cloud

Ressources utiles – Quelques lectures

Merci de votre attention