Sécurité du Cloud

Introduction à la sécurité du Cloud Computing (1 heure)

• Définition du Cloud Computing (NIST) et norme ISO 17788
• Les principaux fournisseurs et les principales défaillances déjà constatées
• Les offres de SecaaS (Security as a Service)
• Les clés d'une architecture sécurisée dans le Cloud

La sécurité des environnements virtuels (3 heures)

• Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)
• La problématique de la protection anti-malware dans une infrastructure virtualisée
• Les risques liés aux vulnérabilités, aux API et aux logiciels (OpenStack, Docker, VMware...)

La sécurité des accès réseaux au Cloud (3 heures)

• Les accès sécurisés via IPsec, VPN, HTTPS et SSH
• Les solutions spécifiques d'accès au Cloud (Intercloud, AWS Direct connect, Azure Express Route, Google Cloud InterConnect...)
• Les solutions CASB (Cloud Access Security Broker)
• Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs

Les travaux de la Cloud Security Alliance (CSA) (1 heure)

• Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing
• Les douze principales menaces identifiées dans le Cloud
• Le Framework OCF et le Programme STAR (Security, Trust & Assurance Registry)
• Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
• La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge)

La sécurité du Cloud Computing selon l'ENISA (1 heure)

• Evaluation et gestion des risques du Cloud par la norme ISO 27005
• Les trente-cinq risques identifiés par l'ENISA
• Les recommandations ENISA pour la sécurité des Clouds gouvernementaux

Contrôler la sécurité du Cloud (2 heures)

• Comment contrôler la sécurité dans le Cloud : audit, test d'intrusion, qualification, certification ?
• Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?
• Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?
• Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

Le contrat Cloud (1 heure)

• Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité...)
• Les clauses de réversibilité (amont & aval) pour ne pas se faire piéger par un fournisseur
• La clause d'audit de sécurité : Peut-on toujours la négocier ? Et comment faire dans un Cloud public ?
• L'importance de la localisation des données et de la juridiction retenue
• Les accords de service dans le Cloud (SLA)
• Pénalités et indemnités : bien comprendre les différences

Aspects juridiques et conformité réglementaire (1 heure)

• Quelles sont les responsabilités juridiques du fournisseur ? Et quid des sous-traitants du fournisseur ?
• La nationalité du fournisseur et la localisation des Datacenters
• Le cadre juridique des données à caractère personnel (Directive 95/46 CE, RGPD, CCT, BCR...)
• Après l'annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le Privacy Shield ?
• Le point sur l'USA Patriot Act. Menace-t-il les données dans le Cloud à l'extérieur des USA ?
• Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016)
• Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données)

Les normes de sécurité dans le Cloud (1 heure)

• Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?
• Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
• Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud
• Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?
• La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix