Aller au contenu principal
Afficher le fil d'ariane

M2I FORMATION : 04 - Gouvernance et sécurité - Module socle

Organisme

M2I FORMATION
146-148 RUE DE PICPUS
75012 PARIS
Voir toutes ses formationsAutres organismes proposant cette formation

Durée

21 heures

Modalités

Formation

  • Classe virtuelle
  • Présentiel

Évaluation

– En cours de formation, par des études de cas ou des travaux pratiques – Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)

Prix

Inter
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
1470€ HT / personne
Intra
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
6300€ HT / groupe
5 stagiaires minimum

Public

DSI, RSI,

Chefs de projets,

Responsables sécurité,

Consultants,

Administrateurs

Ou toute personne en charge de la sécurité du Cloud Computing 

Pré-requis

Avoir des connaissances générales des systèmes d'information

Objectifs pédagogiques

Pour consulter les objectifs pédagogiques, merci de vous référer au programme détaillé de chaque stage.

Programme détaillé

Sécurité du Cloud Computing

Introduction

– Fondamentaux du Cloud Computing

– En quoi la sécurité du Cloud est-elle différente de celle dans l'entreprise ?

– Retour sur les aspects fondamentaux de la sécurité : confidentialité, intégrité,

disponibilité, traçabilité

– Principes généraux de sécurité : SMSI, PSSI

La sécurité des infrastructures virtuelles aujourd'hui

– La gestion de la sécurité des environnements virtuels "traditionnels"

– Les menaces et risques actuels et les techniques de sécurisation associées

– L'impact de l'hyperviseur, du stockage et de la virtualisation du réseau

Introduction à la sécurité du Cloud

– Les organismes aux différentes échelles : CNIL, ANSSI, ENISA, Cloud Security Alliance, ISO…

– Les grandes réglementations : HDS, directives européennes...

– Les certifications : ISO 27001, 27002, 27005, 27018

Exemple de travaux pratiques (à titre indicatif)

– Présentation d'une architecture virtuelle dans un contexte client : comment la sécuriser avec

les techniques traditionnelles ?

Les risques identifiés

Introduction

– Identification et classification des données externalisables

– Processus de gestion des risques ISO 27005

– Approches qualitatives et quantitatives

– Les principales menaces dans le Cloud

Les principaux risques dans le Cloud

– Les risques stratégiques et organisationnels

– Les risques techniques

– Les risques juridiques

– Autres risques identifiés

Traitement et réduction des risques

– Actions liées aux risques et opportunités ISO 27001

– Actions de réduction organisationnelle des risques

– Actions de réduction techniques des risques

Aspects juridiques : le contrat Cloud

Introduction

– Les différences entre les contrats d'infogérance et les contrats Cloud

– Les matrices de responsabilité

– Gérer et garantir la localisation, le transfert et la sécurité des données, la conidentialité

– La dilution des responsabilités

Les contrats : généralités

– Les clauses clés du contrat : SLA, support, sécurité, facturation, transitions, pénalités,

continuité de service...

– Les clauses d'auditabilité

– Les Cloud auditors et les APM

– La réversibilité ou comment changer de provider ?

– L'interopérabilité du Cloud

Les SLA

– Les SLA techniques

– Les SLA opérationnels

– Exemples de SLA de contrats Cloud

La tarification et les licences

– Vers un nouveau modèle de coûts Capex / Opex

– L'impact sur les licences logicielles de l'entreprise

– Comment gérer les licences en environnement hybride ?

– Les outils des providers (Amazon, Azure...) et les outils spéciiques (RightScale...)

Exemples de travaux pratiques (à titre indicatif)

– Etudes de cas :

– Le contrat de Salesforce

– Le contrat SaaS et son audit pour une société de services financiers

– Référentiel d'exigences de sécurité pour les applications en mode SaaS

Les bonnes pratiques de sécurité dans le Cloud

Sécurisation de l'infrastructure du Cloud

– La sécurité physique et environnementale

– Contrôle d'accès et gestion des identités

– La sécurité des données : chiffrement

– La gestion des mots de passe : cryptologie

Opération et exploitation des SI

– Gestion des changements

– Séparation des environnements

– Sauvegarde des environnements

– Journalisation des évènements

Continuité d'activité

– Les normes de Data Center : Uptime Institut et tier I à IV

– PRA / PCA et/dans le Cloud

– Redondance des ressources et des équipements

Acquisition, développement et maintenance des SI

– Politique de développement

– Développement externalisé

Tiers et ressources humaines

– Procédures d'entrée et de sortie

– La rupture contractuelle

Gestion de la gouvernance dans le(s) Cloud

– Evolution de la DSI et nouvelle organisation

– Les outils pour la DSI

– Les Cloud Management Platforms

Les technologies de sécurité adaptées au Cloud

– Couche applicatives : protection Firewall, NIPS, NIDS, filtrage Web, CASB, SASE...

– Protection des points de terminaison : antivirus, HIDS, HIPS, EDR...

La sécurité du réseau dans le Cloud

Sécurité des flux

– L'impact de la virtualisation du réseau

– La micro-segmentation

– Distributed firewall

– Le cas de VMware NSX

La sécurité entre les Clouds

– Les offres de VPN des providers

– Les possibilités d'interconnecter vos équipements à ceux du Cloud provider

– L'interconnexion des applications SaaS avec des données situées dans l'entreprise

Identity as a Service

– Base de l'IAM

– Sécurité des accès

– L'impact de la multiplication des applications SaaS

– La fédération des identités : SAML

– Le cas d'ADFS et de Azure AD

– Les VPN

– Gestion et fédération de l'identité

– L'évolution vers le Identity as a Service

– Acteurs : Okta, Ping Identity, Azure AD

Exemples de travaux pratiques (à titre indicatif)

Etudes de cas :

– La fédération d'identités avec Office 365

– La sécurisation des accès à AWS

Sécurité de l'écosystème du développeur dans le Cloud

L'écosystème DevOps

– Les fondamentaux du DevOps

– Les outils clés

– Infrastructure as Code et automatisation

– Principes et intérêt (exemple avec Ansible)

– Intégration dans le Cloud, scalabilité et images (exemple avec Packer et Terraform)

– Les conteneurs

– Compréhension d'une image de conteneur

– Exemple avec Docker

Stratégies et normes

– Les critères communs

– Security by design

– Les douze règles de développement d'application Cloud Native

– Architecture sécurisée et principes de conception

Sécurisation de l'écosystème - DevSecOps

– Technologies à sécuriser

– Sécurisation des conteneurs

– Images et registre

– Isolation et sécurité réseau

– Bonnes pratiques

– Sécurisation de l'orchestrateur

– Mise en contexte avec Kubernetes

– Contrôle des accès basé sur les rôles (RBAC)

– Projets complémentaires (CNCF)

Sessions

Filtrer les résultats

55 résultats

Modalités pédagogiques
Formation synchrone se déroulant avec la présence physique du (des) formateur(s) et du (des) apprenant(s) réunis dans un même lieu de formation.
Formation combinant des séquences en présentiel et des séquences à distance synchrones ou asynchrones.
Formation à distance, asynchrone, s’appuyant sur une plateforme d’apprentissage, pouvant être complétée par d’autres modalités de formation à distance (visio-conférence…)
Formation à distance, synchrone, s’appuyant sur un dispositif de visio-conférence. La classe virtuelle recrée à distance les conditions d’une formation en salle traditionnelle.
Type de formation
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
Options
Ces sessions ne peuvent être ni annulées ni reportées par l’organisme de formation.

0 résultat