SlideShare uma empresa Scribd logo

Enjeux de sécurité relatifs au cloud v1

Tactika inc.
Tactika inc.
Tecnologia
1 de 36
Baixar para ler offline
Enjeux de sécurité relatifs au cloud v.1 Novembre 2012 Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika
Contenu de la conférence Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion. Enjeux de sécurité relatifs au Cloud 2
Le Cloud est-il incontournable ? • Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . • Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé ! Enjeux de sécurité relatifs au Cloud 3
Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html Enjeux de sécurité relatifs au Cloud 4
Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre-service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multilocataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commodité Enjeux de sécurité relatifs au Cloud 5
Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement  Élasticité, extensibilité ► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestage Enjeux de sécurité relatifs au Cloud 6
Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation Individu Enjeux de sécurité relatifs au Cloud 7
Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multilocataire Même entente de service /SLA pour tous Enjeux de sécurité relatifs au Cloud 8
Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X ou Linux, Ex. CRM (software), Espace de stockage Ex. Sharepoint, Typo3 anti-virus (service) Abstraction Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS Enjeux de sécurité relatifs au Cloud 9
Évolution du modèle de prestation de services • BPaas / Business Process as a Service – BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière – Sous division de SaaS concerne les applications logicielles accessibles dans le nuage • Personnal Cloud – Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur) Enjeux de sécurité relatifs au Cloud 10
Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communauté Enjeux de sécurité relatifs au Cloud 11
Les acteurs dans le modèle de prestation de services Client / utilisateur Client / opérateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur Enjeux de sécurité relatifs au Cloud 12
Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com Opérateur Enjeux de sécurité relatifs au Cloud 13
«Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 Enjeux de sécurité relatifs au Cloud 14
Popularité des modèles de déploiement Enjeux de sécurité relatifs au Cloud 15
Quel modèle de prestation de services ? • Utilisation de l’infonuagique en 2012 selon Gartner – Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%) http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Tendance Enjeux de sécurité relatifs au Cloud 16
Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé  Consolidation  Flexibilité  Libre-service  Montée en  Élimination du  Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblité Enjeux de sécurité relatifs au Cloud 17
Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privé Enjeux de sécurité relatifs au Cloud 18
Infonuagique et la sécurité • Les trois principales préoccupations selon Gartner – Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Enjeux de sécurité relatifs au Cloud 19
La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés». Enjeux de sécurité relatifs au Cloud 20
Facteurs de risque • Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque Gouvernance, risque et conformité Processus de gestion Contrôle et opération • Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Exemple :  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière-boutique (intégration élevée, impact important) Enjeux de sécurité relatifs au Cloud 21
Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité Enjeux de sécurité relatifs au Cloud 22
Principaux risques selon ENISA 1. Perte de la gouvernance 2. Verrouillage/«Lock in» avec le fournisseur 3. Perte de l’isolation «virtuelle» 4. Problème de non-conformité 5. Perte de protection des données 6. Destruction non sécuritaire des données 7. Le fournisseur «à risque» BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009 Enjeux de sécurité relatifs au Cloud 23
Principales menaces relatives au Cloud selon la Cloud Security Alliance • Utilisation abusive ou malicieuse du Cloud • Interfaces & API non sécuritaires • Opérateurs malicieux • Exploitations des vulnérabilités des plateformes partagées • Fuite ou perte de données • Hijacking d’un compte ou du service • Exposition inconnue aux risques du fournisseur Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010 Enjeux de sécurité relatifs au Cloud 24
Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Clients SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel Fournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail Enjeux de sécurité relatifs au Cloud 25
Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute Clients sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur Fournisseur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Enjeux de sécurité relatifs au Cloud 26
Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité des acteurs  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Infrastructure du tiers  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) Enjeux de sécurité relatifs au Cloud 27
Les fonctions «basiques» de sécurité et le cloud Comment ces fonctions Détection des de sécurité sont-elles Contrôle d’accès intrusions mises en œuvre dans le Authentification Détection Réseau Prévention cloud ? Réparation Gestion des identités et Gestion des des vulnérabilités habilitations Enjeux de sécurité relatifs au Cloud 28
Principales mesures de contrôle pour la sécurité de l’infrastructure Antivirus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau Clients clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Fournisseur Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, antivirus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Antivirus, anti-logiciel espion, correctifs Enjeux de sécurité relatifs au Cloud 29
Autres mesures de contrôle • Définition dans l’entente de service/SLA des éléments de sécurité – Acceptation implicite des risques ! • Sensibilisation et formation des utilisateurs • Audit (vous et le fournisseur/tiers) • Test d’intrusion (limité par le SLA et le modèle de prestation) • Relève, redondance (vous versus le tiers) • Surveillance (monitoring) Enjeux de sécurité relatifs au Cloud 30
Impacts – Quelques cas réels  Disponibilité  Avril 2011 / Panne majeure chez Amazon  Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés. http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/  Confidentialité  Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/  Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html  Intégrité  Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 – Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client http://www.bbc.co.uk/news/business-19857243 Enjeux de sécurité relatifs au Cloud 31
Ce qui vient … • La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur – Les besoins du consommateur – Les pressions budgétaires (réduire le CAPEX et OPEX) – Exigences de conformité et juridiques • Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité – Expertise – Intégration – Fiabilité – Récupération Enjeux de sécurité relatifs au Cloud 32
Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à faire ! • Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN • Nombreux problèmes avec le traitement et le stockage des données – Complexité : • Quoi et comment «le» chiffrer • Type de chiffrement : symétrique, asymétrique, etc. • Choix et robustesse de l’algorithme et des clés • Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction – Implantation dans les services : Iaas, PaaS, SaaS – Gestion des clés : Qui les détient et comment ? – Performance ! Enjeux de sécurité relatifs au Cloud 33
Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika Enjeux de sécurité relatifs au Cloud 34
Annexe Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenter Enjeux de sécurité relatifs au Cloud 35
Annexe Comment implanter l’infonuagique Évaluation des besoins Étude d’opportunuité Analyse de risques Évaluation des impacts Évaluation de la maturité de l’organisation Analyse préliminaire Mode de Prestation de Architecture de la solution du MO service ? Implantation Intégration Mode de déploiement ? Nuage public Nuage hybride Nuage privé IaaS PaaS SaaS Stratégie d’implantation Acquisition Implantation Processus de gestion Exploitation TI Opération Ententes contractuelles Enjeux de sécurité relatifs au Cloud 36

Recomendados

Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 

Recomendados

Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingYann Riviere CCSK, CISSP, CRISC, CISM
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingInstitut Poly Informatique
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Fred Canevet
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ? Avignon Delta Numérique
 

Mais conteúdo relacionado

Mais procurados

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Fred Canevet
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingMedinsoft
 

Mais procurados (20)

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computing
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 

Semelhante a Enjeux de sécurité relatifs au cloud v1

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Semaweb
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Malika Lardjane
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confianceIkoula
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne AlecianClub Alliances
 
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...Club Cloud des Partenaires
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...Club Alliances
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
Vocabulaire et Usage du Cloud
Vocabulaire et Usage du CloudVocabulaire et Usage du Cloud
Vocabulaire et Usage du CloudClub Alliances
 
Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01cmichel65
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...PartnerWin - #SocialSelling StarterPacks
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...Microsoft Technet France
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfhasna920888
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 

Semelhante a Enjeux de sécurité relatifs au cloud v1 (20)

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi, son fonctionnement. Effet de mode ou réalité ?
 
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
Le Cloud c’est quoi , son fonctionnement. Effet de mode ou réalité ?
 
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013 Webinar on IBM SmartCloud Application Services Feb 7th. 2013
Webinar on IBM SmartCloud Application Services Feb 7th. 2013
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
2011.06.24 Le Cloud pour les nouveaux - Daphne Alecian
 
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
2012.05.11. Le Cloud avec IBM pour les Nouveaux - Forum du Club Cloud des Par...
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Vocabulaire et Usage du Cloud
Vocabulaire et Usage du CloudVocabulaire et Usage du Cloud
Vocabulaire et Usage du Cloud
 
Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01Pb voc-usage-cloud-101011065640-phpapp01
Pb voc-usage-cloud-101011065640-phpapp01
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
2014.04.09 - Cloud hybride avec Aspaway, IBM et Soft layer - Patrice Lagorsse...
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
Microsoft Private Cloud : Faites évoluer votre Datacenter vers un Centre de S...
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 

Mais de Tactika inc.

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfTactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsTactika inc.
 

Mais de Tactika inc. (6)

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
 

Enjeux de sécurité relatifs au cloud v1

  • 1. Enjeux de sécurité relatifs au cloud v.1 Novembre 2012 Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika
  • 2. Contenu de la conférence Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion. Enjeux de sécurité relatifs au Cloud 2
  • 3. Le Cloud est-il incontournable ? • Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable . • Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé ! Enjeux de sécurité relatifs au Cloud 3
  • 4. Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.com http://www.wordle.net/ Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html Enjeux de sécurité relatifs au Cloud 4
  • 5. Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre-service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multilocataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commodité Enjeux de sécurité relatifs au Cloud 5
  • 6. Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement  Élasticité, extensibilité ► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestage Enjeux de sécurité relatifs au Cloud 6
  • 7. Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation Individu Enjeux de sécurité relatifs au Cloud 7
  • 8. Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multilocataire Même entente de service /SLA pour tous Enjeux de sécurité relatifs au Cloud 8
  • 9. Modèles de prestation de services IaaS PaaS SaaS Infrastructure as a Service Platform as a Service Software as a Service Service as a Service Service de traitement (CPU), de Service de plates-formes Service d’applications, stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc. Ex. Système d’exploitation Windows Server 200X ou Linux, Ex. CRM (software), Espace de stockage Ex. Sharepoint, Typo3 anti-virus (service) Abstraction Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaS Enjeux de sécurité relatifs au Cloud 9
  • 10. Évolution du modèle de prestation de services • BPaas / Business Process as a Service – BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière – Sous division de SaaS concerne les applications logicielles accessibles dans le nuage • Personnal Cloud – Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur) Enjeux de sécurité relatifs au Cloud 10
  • 11. Les modèles de déploiement Cloud privé Organisation Cloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communauté Enjeux de sécurité relatifs au Cloud 11
  • 12. Les acteurs dans le modèle de prestation de services Client / utilisateur Client / opérateur Interface de gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur Enjeux de sécurité relatifs au Cloud 12
  • 13. Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com Opérateur Enjeux de sécurité relatifs au Cloud 13
  • 14. «Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaS Fournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 Enjeux de sécurité relatifs au Cloud 14
  • 15. Popularité des modèles de déploiement Enjeux de sécurité relatifs au Cloud 15
  • 16. Quel modèle de prestation de services ? • Utilisation de l’infonuagique en 2012 selon Gartner – Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%) http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Tendance Enjeux de sécurité relatifs au Cloud 16
  • 17. Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé  Consolidation  Flexibilité  Libre-service  Montée en  Élimination du  Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblité Enjeux de sécurité relatifs au Cloud 17
  • 18. Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privé Enjeux de sécurité relatifs au Cloud 18
  • 19. Infonuagique et la sécurité • Les trois principales préoccupations selon Gartner – Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions • Selon KPMG Enjeux de sécurité relatifs au Cloud 19
  • 20. La perception du risque et le Cloud En affaires, le risque est perçu En sécurité de l’information, le risque comme une opportunité ou comme un est perçu comme une menace qui événement négatif. exploite une vulnérabilité. Les bénéfices du Cloud sont une Les problèmes du Cloud : opportunité. Une organisation peut  Les risques d’un tiers peuvent démontrer un appétit et une tolérance devenir mes risques ... aux risques dans sa recherche  Si plusieurs tiers sont impliqués, d’opportunités. les risques des tiers sont «chainés». Enjeux de sécurité relatifs au Cloud 20
  • 21. Facteurs de risque • Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque Gouvernance, risque et conformité Processus de gestion Contrôle et opération • Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Exemple :  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière-boutique (intégration élevée, impact important) Enjeux de sécurité relatifs au Cloud 21
  • 22. Modèle générique du risque Surfaces d’attaque Probabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité Enjeux de sécurité relatifs au Cloud 22
  • 23. Principaux risques selon ENISA 1. Perte de la gouvernance 2. Verrouillage/«Lock in» avec le fournisseur 3. Perte de l’isolation «virtuelle» 4. Problème de non-conformité 5. Perte de protection des données 6. Destruction non sécuritaire des données 7. Le fournisseur «à risque» BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009 Enjeux de sécurité relatifs au Cloud 23
  • 24. Principales menaces relatives au Cloud selon la Cloud Security Alliance • Utilisation abusive ou malicieuse du Cloud • Interfaces & API non sécuritaires • Opérateurs malicieux • Exploitations des vulnérabilités des plateformes partagées • Fuite ou perte de données • Hijacking d’un compte ou du service • Exposition inconnue aux risques du fournisseur Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010 Enjeux de sécurité relatifs au Cloud 24
  • 25. Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Clients SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logiciel Fournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail Enjeux de sécurité relatifs au Cloud 25
  • 26. Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute Clients sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute sur Fournisseur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Enjeux de sécurité relatifs au Cloud 26
  • 27. Principales vulnérabilités  Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données  Maturité des acteurs  Gouvernance absente ou relâchée, état du SMSI  Entente de service/SLA  Mal définie, incomplète  Votre infrastructure  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Infrastructure du tiers  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)  Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents  Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO) Enjeux de sécurité relatifs au Cloud 27
  • 28. Les fonctions «basiques» de sécurité et le cloud Comment ces fonctions Détection des de sécurité sont-elles Contrôle d’accès intrusions mises en œuvre dans le Authentification Détection Réseau Prévention cloud ? Réparation Gestion des identités et Gestion des des vulnérabilités habilitations Enjeux de sécurité relatifs au Cloud 28
  • 29. Principales mesures de contrôle pour la sécurité de l’infrastructure Antivirus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau Clients clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Fournisseur Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, antivirus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Antivirus, anti-logiciel espion, correctifs Enjeux de sécurité relatifs au Cloud 29
  • 30. Autres mesures de contrôle • Définition dans l’entente de service/SLA des éléments de sécurité – Acceptation implicite des risques ! • Sensibilisation et formation des utilisateurs • Audit (vous et le fournisseur/tiers) • Test d’intrusion (limité par le SLA et le modèle de prestation) • Relève, redondance (vous versus le tiers) • Surveillance (monitoring) Enjeux de sécurité relatifs au Cloud 30
  • 31. Impacts – Quelques cas réels  Disponibilité  Avril 2011 / Panne majeure chez Amazon  Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés. http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/  Confidentialité  Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/  Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html  Intégrité  Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 – Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client http://www.bbc.co.uk/news/business-19857243 Enjeux de sécurité relatifs au Cloud 31
  • 32. Ce qui vient … • La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur – Les besoins du consommateur – Les pressions budgétaires (réduire le CAPEX et OPEX) – Exigences de conformité et juridiques • Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité – Expertise – Intégration – Fiabilité – Récupération Enjeux de sécurité relatifs au Cloud 32
  • 33. Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à faire ! • Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN • Nombreux problèmes avec le traitement et le stockage des données – Complexité : • Quoi et comment «le» chiffrer • Type de chiffrement : symétrique, asymétrique, etc. • Choix et robustesse de l’algorithme et des clés • Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction – Implantation dans les services : Iaas, PaaS, SaaS – Gestion des clés : Qui les détient et comment ? – Performance ! Enjeux de sécurité relatifs au Cloud 33
  • 34. Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika Enjeux de sécurité relatifs au Cloud 34
  • 35. Annexe Pense-bête pour contrôler les risques du Cloud  Appliquer les bonnes pratiques selon votre contexte !!!  Mettre à jour votre cadre de sécurité pour inclure le Cloud  Déterminer vos besoins  Déterminer un niveau de service  Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données  Catégoriser vos données, évaluer la criticité du service  Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !  Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI  Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ?  Surveiller et journaliser ► Audit  Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête  Documenter l’architecture(s) ► Documenter … documenter … documenter Enjeux de sécurité relatifs au Cloud 35
  • 36. Annexe Comment implanter l’infonuagique Évaluation des besoins Étude d’opportunuité Analyse de risques Évaluation des impacts Évaluation de la maturité de l’organisation Analyse préliminaire Mode de Prestation de Architecture de la solution du MO service ? Implantation Intégration Mode de déploiement ? Nuage public Nuage hybride Nuage privé IaaS PaaS SaaS Stratégie d’implantation Acquisition Implantation Processus de gestion Exploitation TI Opération Ententes contractuelles Enjeux de sécurité relatifs au Cloud 36