ENI SERVICE : 03. Sécurité du Cloud

Introduction à la sécurité du Cloud Computing

·  Définition du Cloud Computing (NIST) et norme ISO 17788

·  Les principaux fournisseurs et les principales défaillances déjà constatées

·  Les offres de SecaaS (Security as a Service)

·  Les clés d'une architecture sécurisée dans le Cloud

La sécurité des environnements virtuels

·  Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)

·  La problématique de la protection anti-malware dans une infrastructure virtualisée

·  Les risques liés aux vulnérabilités, aux API et aux logiciels (OpenStack, Docker, VMware...)

La sécurité des accès réseaux au Cloud

·  Les accès sécurisés via IPsec, VPN, HTTPS et SSH

·  Les solutions spécifiques d'accès au Cloud (Intercloud, AWS Direct connect, Azure Express Route, Google Cloud InterConnect...)

·  Les solutions CASB (Cloud Access Security Broker)

·  Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs

Les travaux de la Cloud Security Alliance (CSA)

·  Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing

·  Les douze principales menaces identifiées dans le Cloud

·  Le Framework OCF et le Programme STAR (Security, Trust & Assurance Registry)

·  Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?

·  La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge)

La sécurité du Cloud Computing selon l'ENISA

·  Evaluation et gestion des risques du Cloud par la norme ISO 27005

·  Les trente-cinq risques identifiés par l'ENISA

·  Les recommandations ENISA pour la sécurité des Clouds gouvernementaux

Contrôler la sécurité du Cloud

·  Comment contrôler la sécurité dans le Cloud : audit, test d'intrusion, qualification, certification ?

·  Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?

·  Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?

·  Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

Le contrat Cloud

·  Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité...)

·  Les clauses de réversibilité (amont & aval) pour ne pas se faire piéger par un fournisseur

·  La clause d'audit de sécurité : Peut-on toujours la négocier ? Et comment faire dans un Cloud public ?

·  L'importance de la localisation des données et de la juridiction retenue

·  Les accords de service dans le Cloud (SLA)

·  Pénalités et indemnités : bien comprendre les différences

Aspects juridiques et conformité réglementaire

·  Quelles sont les responsabilités juridiques du fournisseur ? Et quid des sous-traitants du fournisseur ?

·  La nationalité du fournisseur et la localisation des Datacenters

·  Le cadre juridique des données à caractère personnel (Directive 95/46 CE, RGPD, CCT, BCR...)

·  Après l'annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le Privacy Shield ?

·  Le point sur l'USA Patriot Act. Menace-t-il les données dans le Cloud à l'extérieur des USA ?

·  Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016)

·  Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données)

Les normes de sécurité dans le Cloud

·  Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?

·  Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)

·  Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud

·  Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?

·  La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix