La securite du cloud computing le temps d un cafe - Orange Business Services

la sécurité du cloud computing le temps d’uncafé

la sécurité du cloud computing le temps d’un café

Après quelques petites années, le cloud computing est maintenant partout. Mais sans sécurité, pas de cloud computing : pour une fois (!) le marché est unanime sur ce point. Les questions et interrogations sont nombreuses : en quoi la sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de la composante humaine de cette équation cloud et sécurité ? Par où commencer et sur quels référentiels s’appuyer pour son “projet cloud” ? Le livret que vous avez sous les yeux concentre une sélection de billets qui, le temps d’un café, devraient vous apporter un éclairage sur ce sujet qu’est “la sécurité du cloud computing”. Bonne lecture et à très bientôt sur nos blogs pour continuerle voyage !

Jean-François Audenard

édito

sommaire

invasion de services clouden entreprise : que faire ? 6

comprendre la protectiondes données dans le cloud 13

cloud iaas : 15 recommandationspour des serveurs sécurisés 20

forrester : la sécurité des services clouddans le collimateur 25

5 documents de référence sur la sécuritédu cloud computing 29

5la sécurité du cloud computing le temps d’un café

6 la sécurité du cloud computing le temps d’un café

invasion de services cloud en entreprise : que faire?


par Jean-François Audenard

Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l’informatique mais c’est aussi une nouvelle source de soucis. Un peu comme les infections qui se nichent entre les doigts de pieds : elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là...Pour une entreprise, les applications en mode cloud computing c’est peu ou prou la même chose que ces mycoses ou autres champignons : les employés souscrivent d’eux-mêmes à des services cloud, la direction sécurité n’étant pas mise dans la boucle ; au contraire cette dernière est soigneusement oubliée : Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la regarde pas.

Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d’accompagner ce changement car il est trop tard pour l’enrailler.

les motivations profondes : rapidité de mise en oeuvre, documentation et coûts

Pour les directions métiers, l’amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise

http://blog.uptimeinstitute.com/2011/07/dealing-with-cloud-computing-creep-in-the-data-center/



en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs. Depuis plusieurs années (voire décennies) les

directions informatiques les assomment de délais improbables allant de pair avec des coûts dignent du meilleur escroc.Une autre raison réside dans le fait que des services de cloud externes n’ont pas d’équivalents en interne ou encore que ceux-ci sont tout simplement bien mieux documentés et clairs que leurs versions internes. Car

oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète... et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas !Avant le cloud, les directions métiers étaient ; excusez-moi de l’expression ; “de la baise”. Avec le cloud computing elles ont désormais le choix : les directions informatiques doivent donc s’adapter et évoluer ; les directions sécurité aussi.

un état de fait, une tendance qu’il n’est pas possible d’arrêter

Souscrire à un service cloud est facile et rapide : il suffit d’un accès Internet et de sortir sa carte bancaire corporate. Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS (Software as a Service), les PaaS (Platform as a Service) ou même ceux de type IaaS (Infrastructure as a Service).A moins de couper les accès Internet (totalement irréaliste) ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud Services providers” dans les systèmes de filtrage d’URL ?), la tendance est à un élargissement du nombre de prestataires de services informatiques. Les directions informatique et sécurité sont donc tenues ; si elles veulent rester en place et continuer à être reconnues ; de se mettre au goût du jour et d’accompagner ce changement.

à savoir

souscrire à un service cloud est facile et rapide :il suffit d’un accès internet et de sortir sa carte bancaire corporate.



il est important de s’assurerque les données peuvent être effectivement récupéréessous un format ré-utilisable.

attention



accompagner pour préparer l’avenir et anticiper

Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l’accompagner vers cette transition vers le cloud computing. Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de “l’accompagnement” des projets que les direction informatiques.Oui, l’utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise. Illustration en deux points : la conformité et la continuité.

données personnelles

Une entreprise française manipulant des données personnelles est tenue d’assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l’espace européen (ou sur le sol d’un pays reconnu comme étant “suffisamment protecteur”). Tout le monde n’est pas au fait de ces aspects réglementaires

(directive Européenne 95/46/EC), une direction sécurité est donc tout à fait légitime pour guider le choix (sans s’y opposer ou forcément chercher à placer d’autres solutions) vers un fournisseur en mesure de répondre à ce besoin de conserver les données dans une liste de pays pré-établie.De la même façon, il conviendra de s’assurer que les équipes de support technique du

prestataire sont bien localisées dans des pays connus. Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l’être.Dans le cas contraire, la loi indique que le client final doit être informé que des données personnelles le concernant sont

à savoir

la loi indique que le client final doit être informé que des données personnelles le concernant sont amenées à quitter la zone Europe.



amenées à quitter la zone europe (ou un pays “reconnu”) et cela doit être stipulé dans le contrat de service.

continuité

Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivé par une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests.Dans chacun de ces contextes d’utilisation de services cloud, il est critique d’assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi (par exemple si celui-ci viendrait à cesser ses activités). De la même façon, une société peut initier un projet grâce aux services cloud d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire.

réversibilité

Si ces questions relatives à la réversibilité n’ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait être prohibitif voire même dans certains cas impossible.Dans tous les cas, il est important de s’assurer que les données peuvent être effectivement récupérées sous un format ré-utilisable. Pour de l’IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles (sous un format spécifique à l’hyperviseur ou encore sous forme de fichiers OVF).Dans le domaine du PaaS, le sujet n’est pas neuf, les récents échanges de mots entre Google et Joyent (“Google Cloud Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de Big-Table sont un bon exemple du besoin d’utiliser des techniques standardisées (ou tout du moins non propriétaires) car sinon c’est le “syndrome d’enfermement” assuré.



souplesse et accompagnement

La balle est dans le camp des directions informatiques et sécurité : le cloud computing est là et sera de plus en plus présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire. Le proverbe Japonais “la neige ne brise jamais les branches du saule” illustre bien le comportement à adopter : souplesse et accompagnement sont les clefs d’une transition vers le cloud computing.

l’article en ligne

Invasion de services cloud en entreprise : que faire ?

http://blogs.orange-business.com/securite/2011/08/invasion-de-services-cloud-en-entreprise-que-faire.html

http://blogs.orange-business.com/securite/2011/08/invasion-de-services-cloud-en-entreprise-que-faire.html

comprendre la protection des données dans le cloud


Les donneés stockées dans le cloud doivent être protégées contre les accès et les modifications non-autorisées. Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données iront croissant.La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire. Je vous propose de partager avec vous quelques idées sur ce thème.Comme nous le verrons, le cycle de vie des données est une constante qui sera un outil particulièrement utile et qui est applicable quelque soit le type de service cloud concerné. Par contre, au niveau de certaines phases de ce cycle de vie les choses se compliqueront en fonction du type de service : on ne sécurise pas de la même façon des données dans un contexte de service de type IaaS (Infrastructure as a Service), BaaS (Backup as a Service) ou encore SaaS (Software as a Service).

cycle de vie de la donnée : modèle de référence

Le cycle de vie des données dans le Cloud est décomposable en 5 grandes étapes. Les données sont transférées dans le Cloud, elles y sont stockées, utilisées, récupérées et éventuellement détruites. A chaque étape de ce cycle de vie, différentes mesures peuvent être mises en oeuvre pour assurer la sécurité des données.Les mesures de protection sont de deux types : le contrôle



d’accès et le chiffrement. Je n’évoquerai que rapidement la première pour me focaliser sur le chiffrement.

première brique essentielle : le contrôle d’accès

Contrôler l’accès aux données s’appuie sur des mécanismes d’authentification : une personne (ou un système, un programme) doit montrer patte blanche afin de pouvoir accéder aux données. L’ensemble des techniques, systèmes et moyens de contrôle d’accès sont regroupés sous l’acronyme IAM (Identity and Access Management). Comme il s’agit d’un sujet très large je vous propose de le mettre de coté pour le moment.

phase de transit des données : c’est maîtrisé !

Les phases liées à l’envoi des données depuis les systèmes internes d’une entreprise vers le cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l’entreprise et ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser.

phase de stockage des données : ça se gâte

Une fois les données arrivées dans le Cloud, celles-ci y sont



stockées. En l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur de service. Certains d’entre-eux vont proposer des systèmes dont le fonctionnement n’est peut-être pas toujours très clair. Dans le cas où les données sont déposées dans le cloud afin d’assurer

leur disponibilité (cas par exemple d’un service de type Baas - Backup as a Service), le mieux est de chiffrer les données avant de les envoyer : cette tâche incombera au client du cloud qui réalisera ce traitement lui-même (ou via des outils mis à sa disposition par son fournisseur).Evidemment, dans le cas d’un service de type SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le

client final ayant un rôle quasi inexistant (et donc une maîtrise) dans cette étape de chiffrement. Ici le contrôle d’accès (IAM) aura un rôle encore plus important que dans le cas d’un service de type BaaS ou le chiffrement peut être effectué à la source.Même si la situation n’est pas toute rose, il y a donc quelques solutions de disponibles pour les données “at rest” ou “stockées”. La situation se complique encore plus pour les données présentes dans le cloud et devant être utilisées dans ce même cloud.

données utilisées dans le cloud : absence de standards

Pour ce qui concerne les données présentes dans le cloud et qui doivent être utilisées depuis le cloud, il n’existe actuellement pas de solution. Afin d’illustrer mon propos, prenons l’exemple d’une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d’exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Un



à savoir

en l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur du service corporate.

sélectionneren prioritéun fournisseur en qui vousavez confianceet qui connaitvos besoinset contraintes.



attention

attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM.Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d’accès mises en place pour accéder aux données : cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le cloud (webmail, application de CRM, gestion documentaire, etc...)

et la destruction des données ?le chiffrement est un allié

Une fois que des données ont été récupérées depuis un cloud, il est important de s’assurer qu’elles en disparaissent bien. Outre le fait qu’il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C’est ici que le chiffrement peut nous donner un coup de main.En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C’est ce concept qui permet de s’assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de cloud vient de mettre la clef sous la porte sans prévenir.

un fournisseur de confianceest essentiel

A part la phase de transfert des données depuis ou vers le cloud, les moyens pour sécuriser ses données lorsqu’elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu’ils soient intégrés par



les fournisseurs de service, la confiance dans son fournisseur est un élément fondamental. La confiance vient dans le temps et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma recommandation serait de sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. Néanmoins, pas de confiance aveugle : un contrat bien ficelé et une analyse fine et approfondie de ses pratiques de sécurité sont des points de passage obligés.


Comprendre la protectiondes données dans le cloud



http://blogs.orange-business.com/securite/2011/03/la-protection-des-donnees-dans-le-cloud-encore-perfectible.html

http://blogs.orange-business.com/securite/2011/03/la-protection-des-donnees-dans-le-cloud-encore-perfectible.html

cloud iaas : 15 recommandations pour des serveurs sécurisés

par Jean-François Audenard Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l’esprit des personnes. Cela est peut-être dû au fait que ce niveau de

service bénéficie du “halo” de la virtualisation...

Dans une offre de type IaaS, le client souscrit à un service d’hébergement d’un système d’exploitation tournant dans un environnement virtualisé. Une fois le système livré par le prestataire c’est au client de sécuriser son système. L’étendue de ce travail de sécurisation dépendra des besoins du client et ce qui est fournit ou non par le prestataire.

Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d’entrée de gamme. A vous de remonter vos manches et de renforcer la sécurité au niveau adéquat.



à savoir

Vous devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre fournisseur et ajouter vous-même ce qu’il ne propose pas

ne stockez pas vos clefs de déchiffrement sur l’instance :celles-ci ne doivent y entrer que durant le processus de déchiffrement.



attention

Je vous donne 15 recommandations pour sécuriser une instance d’une machine virtuelle localisée en Cloud IaaS.

1. Cryptez tout le trafic réseau2. Limitez à un le nombre de services supportés par une

instance (*)3. Renforcez la sécurité de votre système d’exploitation

(Microsoft MBSA, Bastille Linux, ...)4. Activez les fonctions de cryptage intégrées aux systèmes de

fichiers ou des périphériques en mode bloc5. Cryptez toutes les données déposées sur les espaces de

stockage (SAN, NAS, ...)6. Ne stockez pas vos clefs de décryptage sur l’instance :

celles-ci ne doivent y entrer que durant le processus de décryptage.

7. N’ouvrez que le minimum de ports réseau requis sur chacune des instances

8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d’exploitation que les applicatifs

9. Faites des scans de détection de vulnérabilités récurrents10. Hormis pour les services publics comme HTTP/HTTPS,

limitez les adresses IP sources autorisées à se connecter11. N’utilisez pas de mots de passe pour les accès en mode

console, préférez plutôt les clefs RSA ou certificats SSL clients

12. Effectuez régulièrement des sauvegardes pour ensuite les rapatrier et les stocker en lieu sûr

13. Installez un système de détection d’intrusion au niveau du système d’exploitation (par exemple OSSEC, CISCO CSA, ...)

14. Si vous suspectez une intrusion, faites un snaphost de l’instance et stoppez-là. (*)

15. Développez vos applications de façon sécurisée (OWASP).



Normalement, pour devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d’options.

Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation.PS : rien de bien magique pour un administrateur système/sécurité expérimenté. Surtout qu’avec la virtualisation le copy/paste d’instances virtuelles offre un niveau d’industrialisation que l’on ne connait pas dans les serveurs dédiés. Bon cloud !


cloud IaaS : 15 recommandations pour des serveurs sécurisés



http://blogs.orange-business.com/securite/2010/05/cloud-iaas-15-recommandations-pour-des-serveurs-securises.html



forrester : la sécurité des services cloud dans le collimateur

par Jean-François Audenard Dans l’une des dernières études de Forrester intitulée “Status, Challenges, And Near-Term Tactics For Cloud Services In Enter-prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents.

Avant que les entreprises fassent massivement le “grand saut” vers les services cloud, des réponses à 7 grandes interrogations devront être apportées par les fournisseurs de services dans le nuage. Le premier d’entre-eux est la sécurité : “Even so, perceptions and genuine technical hurdles put security as one of the biggest challenges to broader enterprise cloud services adoption”.

La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes.Certains affirment que la sécurité dans le nuage est impos-sible alors que d’autres défendent becs et ongles le contraire : le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s’expliquer par le fait que le niveau des technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d’autres domaines. D’un autre coté, pour certains ser-vices “cloud” on peut dire que leur niveau de sécurité est arrivé à maturité.



à savoir

Vous devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre fournisseur et ajouter vous-même ce qu’il ne propose pas

pour certains services “cloud” on peut dire que le niveau de sécurité est arrivé à maturité.



attention

J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d’ailleurs.

Pour faire un parallèle : dans le cloud on peut retrouver des termes comme “private cloud”, “public cloud” ou encore “community cloud”. Mettez en face de chacun “une plateforme de mail dédiée hebergée”, “Gmail” ou encore des “services de messagerie electroniques pour le segment des entreprises” (suivez mon regard). Pour chacun de ces services “cloud” on sait faire dans le sé-curisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun.

Quelle est la recommandation de Forrester ? Plutôt simple : “intégrez la sécurité dans les choix stratégiques et dans le pro-cessus de sélection”.

Ce n’est pas une surprise : les entreprises ne pouvant “out-sourcer” leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s’appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud.

“Il faut intégrer la sécurité dès le début du projet” : rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s’en assurer.

PS: J’ai délibérément omis de parler de tout ce qui n’était pas en relation avec la sécurité. Ce document de Forrester n’étant pas focalisé uniquement sur la sécurité.


Forrester : la sécurité des services cloud dans le collimateur



http://blogs.orange-business.com/securite/2009/12/forrester-la-securite-des-services-cloud-dans-le-collimateur.html

http://blogs.orange-business.com/securite/2009/12/forrester-la-securite-des-services-cloud-dans-le-collimateur.html

5 documents de référence sur la sécurité du cloud computing


Voici 5 documents que je considère comme des “références” dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l’externalisation des systèmes d’information).Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l’anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance.

#1 ANSSI Maîtriser les risques de l’infogérance(En français - 56 pages)

Le premier c’est le “Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui nous propose un document très didactique.L’approche prise est clairement d’accompagner le lecteur/lectrice vers une démarche de prise en compte de la sécurité dans un projet d’externalisation d’un système d’information. A noter une section relative à la définition d’un PAS (Plan d’Assurance Sécurité) et comment contractualiser des engagements de sécurité.



#2 Syntec Numérique Livre Blanc sécurité du Cloud Computing(En français - 24 pages)

Le second c’est celui du Syntec Numérique “Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques”.Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du cloud, l’approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données.Le document est d’une lecture aisée car il évite un formalisme trop guindé, c’est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet.

#3 Cloud Security AllianceSecurity Guidance for Critical Areas of Cloud Computing v3.0(En anglais - 177 pages)

Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide “Security Guidance for Critical Areas of Cloud Computing Version 3.0” est une “référence-de-référence” pour tout professionel du domaine.Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous.Ce n’est que la partie hébergée de l’iceberg : la Cloud Security



Alliance propose bien d’autres documents. Mon conseil : allez fouiller sur leur site, vous ne serez pas déçu(e) !

#4 ENISA, Cloud Computing Risk Assessment(En anglais - 125 pages)

Le 4ième document est celui de l’ENISA, agence Européenne spécialisée dans la sécurité des systèmes d’information. Dans leur document “Cloud Computing, Benefits, risks and recommendations for information security”, l’ENISA nous propose une vision axée sur les risques liés aux cloud computing. C’est le document le plus complet de tous sur l’approche “risques”. Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées.Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants.

#5 PCI DSSVirtualization Guidelines v2.0(En anglais - 39 pages)

Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est que les règles (ou “objectifs de sécurité”) sont précis et connus d’avance. Le niveau d’exigence est clairement fort.Le guide “PCI-DSS - Information Supplement: PCI DSS



Virtualization Guidelines” explicite de façon claire et précise ce qu’il convient de mettre en place au niveau d’une couche de virtualisation. Pour savoir que faire pour sécuriser votre hyperviseur c’est le document qu’il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels.

mes deux préférés

Sur ces 5 documents de référence, mes deux préférés sont celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide de la Cloud Security Alliance concentre “l’état de l’art” dans le domaine de la sécurité du cloud computing ; celui de l’ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d’un service de cloud computing.

et ce n’est pas fini : quels sont vos documents de prédilection ?

J’ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d’autres comme les documents du NIST, ceux de la NSA et j’en passe....Quels sont les documents que vous considérez comme “de référence” ? C’est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne.


5 documents de référencesur la sécurité du cloud computing




http://blogs.orange-business.com/securite/2011/12/5-documents-de-reference-sur-la-securite-du-cloud-computing.html

http://blogs.orange-business.com/securite/2011/12/5-documents-de-reference-sur-la-securite-du-cloud-computing.html

l’auteur


Jean-FrançoisAudenard

Au sein d’Orange Business Services, je suis en charge d’intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j’aime aller au delà des chantiers battus et faire “bouger les codes”. La franchise est ma “touche” et l’optimisme et le volontarisme mes deux moteurs.


Document téléchargeable à :http://livres-blancs.orange-business.com/

Édité par Orange Business Services30.03.2012

http://livres-blancs.orange-business.com/

La securite du cloud computing le temps d un cafe - Orange Business Services

Technology

Transcript of La securite du cloud computing le temps d un cafe - Orange Business Services