EDITIONS ENI : 03. Sécurité du Cloud
Organisme
44812 ST HERBLAIN CEDEXVoir toutes ses formationsAutres organismes proposant cette formation
Durée
Modalités
- Classe virtuelle
- Présentiel
A l’issue de cette session, chaque stagiaire bénéficiaire sera contacté par un prestataire choisi par l’Opco Atlas afin d’évaluer « à chaud » la qualité de la formation suivie.
Prix
Public
DSI, RSI, Chefs de projets, Responsables sécurité, Consultants, Administrateurs, toute personne en charge de la sécurité du Cloud Computing
Pré-requis
Avoir des connaissances générales des systèmes d'information.
Objectifs pédagogiques
✓ Connaitre les fondamentaux de la sécurité des SI et du Cloud
✓ Appréhender les principales menaces, vulnérabilités et risques du Cloud
✓ Connaitre les référentiels de normes et de standards pour sécuriser le Cloud
✓ Évaluer la maturité et le niveau de sécurité des fournisseurs cloud
✓ Identifier les aspects organisationnels de la sécurité du cloud
✓ Identifier les bonnes pratiques et les solutions de sécurisation des opérateurs de Cloud
Programme détaillé
Introduction à la sécurité du Cloud Computing
· Définition du Cloud Computing (NIST) et norme ISO 17788
· Les principaux fournisseurs et les principales défaillances déjà constatées
· Les offres de SecaaS (Security as a Service)
· Les clés d'une architecture sécurisée dans le Cloud
La sécurité des environnements virtuels
· Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)
· La problématique de la protection anti-malware dans une infrastructure virtualisée
· Les risques liés aux vulnérabilités, aux API et aux logiciels (OpenStack, Docker, VMware...)
La sécurité des accès réseaux au Cloud
· Les accès sécurisés via IPsec, VPN, HTTPS et SSH
· Les solutions spécifiques d'accès au Cloud (Intercloud, AWS Direct connect, Azure Express Route, Google Cloud InterConnect...)
· Les solutions CASB (Cloud Access Security Broker)
· Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs
Les travaux de la Cloud Security Alliance (CSA)
· Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing
· Les douze principales menaces identifiées dans le Cloud
· Le Framework OCF et le Programme STAR (Security, Trust & Assurance Registry)
· Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
· La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge)
La sécurité du Cloud Computing selon l'ENISA
· Evaluation et gestion des risques du Cloud par la norme ISO 27005
· Les trente-cinq risques identifiés par l'ENISA
· Les recommandations ENISA pour la sécurité des Clouds gouvernementaux
Contrôler la sécurité du Cloud
· Comment contrôler la sécurité dans le Cloud : audit, test d'intrusion, qualification, certification ?
· Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?
· Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?
· Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?
Le contrat Cloud
· Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité...)
· Les clauses de réversibilité (amont & aval) pour ne pas se faire piéger par un fournisseur
· La clause d'audit de sécurité : Peut-on toujours la négocier ? Et comment faire dans un Cloud public ?
· L'importance de la localisation des données et de la juridiction retenue
· Les accords de service dans le Cloud (SLA)
· Pénalités et indemnités : bien comprendre les différences
Aspects juridiques et conformité réglementaire
· Quelles sont les responsabilités juridiques du fournisseur ? Et quid des sous-traitants du fournisseur ?
· La nationalité du fournisseur et la localisation des Datacenters
· Le cadre juridique des données à caractère personnel (Directive 95/46 CE, RGPD, CCT, BCR...)
· Après l'annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le Privacy Shield ?
· Le point sur l'USA Patriot Act. Menace-t-il les données dans le Cloud à l'extérieur des USA ?
· Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016)
· Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données)
Les normes de sécurité dans le Cloud
· Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?
· Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
· Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud
· Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?
· La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix