M2I FORMATION : 04 - Gouvernance et sécurité - Module socle

Sécurité du Cloud Computing

Introduction

– Fondamentaux du Cloud Computing

– En quoi la sécurité du Cloud est-elle différente de celle dans l'entreprise ?

– Retour sur les aspects fondamentaux de la sécurité : confidentialité, intégrité,

disponibilité, traçabilité

– Principes généraux de sécurité : SMSI, PSSI

La sécurité des infrastructures virtuelles aujourd'hui

– La gestion de la sécurité des environnements virtuels "traditionnels"

– Les menaces et risques actuels et les techniques de sécurisation associées

– L'impact de l'hyperviseur, du stockage et de la virtualisation du réseau

Introduction à la sécurité du Cloud

– Les organismes aux différentes échelles : CNIL, ANSSI, ENISA, Cloud Security Alliance, ISO…

– Les grandes réglementations : HDS, directives européennes...

– Les certifications : ISO 27001, 27002, 27005, 27018

Exemple de travaux pratiques (à titre indicatif)

– Présentation d'une architecture virtuelle dans un contexte client : comment la sécuriser avec

les techniques traditionnelles ?

Les risques identifiés

Introduction

– Identification et classification des données externalisables

– Processus de gestion des risques ISO 27005

– Approches qualitatives et quantitatives

– Les principales menaces dans le Cloud

Les principaux risques dans le Cloud

– Les risques stratégiques et organisationnels

– Les risques techniques

– Les risques juridiques

– Autres risques identifiés

Traitement et réduction des risques

– Actions liées aux risques et opportunités ISO 27001

– Actions de réduction organisationnelle des risques

– Actions de réduction techniques des risques

Aspects juridiques : le contrat Cloud

Introduction

– Les différences entre les contrats d'infogérance et les contrats Cloud

– Les matrices de responsabilité

– Gérer et garantir la localisation, le transfert et la sécurité des données, la conidentialité

– La dilution des responsabilités

Les contrats : généralités

– Les clauses clés du contrat : SLA, support, sécurité, facturation, transitions, pénalités,

continuité de service...

– Les clauses d'auditabilité

– Les Cloud auditors et les APM

– La réversibilité ou comment changer de provider ?

– L'interopérabilité du Cloud

Les SLA

– Les SLA techniques

– Les SLA opérationnels

– Exemples de SLA de contrats Cloud

La tarification et les licences

– Vers un nouveau modèle de coûts Capex / Opex

– L'impact sur les licences logicielles de l'entreprise

– Comment gérer les licences en environnement hybride ?

– Les outils des providers (Amazon, Azure...) et les outils spéciiques (RightScale...)

Exemples de travaux pratiques (à titre indicatif)

– Etudes de cas :

– Le contrat de Salesforce

– Le contrat SaaS et son audit pour une société de services financiers

– Référentiel d'exigences de sécurité pour les applications en mode SaaS

Les bonnes pratiques de sécurité dans le Cloud

Sécurisation de l'infrastructure du Cloud

– La sécurité physique et environnementale

– Contrôle d'accès et gestion des identités

– La sécurité des données : chiffrement

– La gestion des mots de passe : cryptologie

Opération et exploitation des SI

– Gestion des changements

– Séparation des environnements

– Sauvegarde des environnements

– Journalisation des évènements

Continuité d'activité

– Les normes de Data Center : Uptime Institut et tier I à IV

– PRA / PCA et/dans le Cloud

– Redondance des ressources et des équipements

Acquisition, développement et maintenance des SI

– Politique de développement

– Développement externalisé

Tiers et ressources humaines

– Procédures d'entrée et de sortie

– La rupture contractuelle

Gestion de la gouvernance dans le(s) Cloud

– Evolution de la DSI et nouvelle organisation

– Les outils pour la DSI

– Les Cloud Management Platforms

Les technologies de sécurité adaptées au Cloud

– Couche applicatives : protection Firewall, NIPS, NIDS, filtrage Web, CASB, SASE...

– Protection des points de terminaison : antivirus, HIDS, HIPS, EDR...

La sécurité du réseau dans le Cloud

Sécurité des flux

– L'impact de la virtualisation du réseau

– La micro-segmentation

– Distributed firewall

– Le cas de VMware NSX

La sécurité entre les Clouds

– Les offres de VPN des providers

– Les possibilités d'interconnecter vos équipements à ceux du Cloud provider

– L'interconnexion des applications SaaS avec des données situées dans l'entreprise

Identity as a Service

– Base de l'IAM

– Sécurité des accès

– L'impact de la multiplication des applications SaaS

– La fédération des identités : SAML

– Le cas d'ADFS et de Azure AD

– Les VPN

– Gestion et fédération de l'identité

– L'évolution vers le Identity as a Service

– Acteurs : Okta, Ping Identity, Azure AD

Exemples de travaux pratiques (à titre indicatif)

– Etudes de cas :

– La fédération d'identités avec Office 365

– La sécurisation des accès à AWS

Sécurité de l'écosystème du développeur dans le Cloud

L'écosystème DevOps

– Les fondamentaux du DevOps

– Les outils clés

– Infrastructure as Code et automatisation

– Principes et intérêt (exemple avec Ansible)

– Intégration dans le Cloud, scalabilité et images (exemple avec Packer et Terraform)

– Les conteneurs

– Compréhension d'une image de conteneur

– Exemple avec Docker

Stratégies et normes

– Les critères communs

– Security by design

– Les douze règles de développement d'application Cloud Native

– Architecture sécurisée et principes de conception

Sécurisation de l'écosystème - DevSecOps

– Technologies à sécuriser

– Sécurisation des conteneurs

– Images et registre

– Isolation et sécurité réseau

– Bonnes pratiques

– Sécurisation de l'orchestrateur

– Mise en contexte avec Kubernetes

– Contrôle des accès basé sur les rôles (RBAC)

– Projets complémentaires (CNCF)