La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
2. Cloud & Sécurité
Quels risques et quelles sont les questions
importantes à se poser avant de migrer vers le
Cloud ?
Code Session : SEC2202
Jean-Yves GRASSET Christophe VALLEE
Architecte Technique et BOS Solution Architect
Sécurité Office 365 Customer
Direction Technique et Experience
Sécurité Microsoft Corporation
Microsoft France
3. Sommaire
Le Cloud selon le NIST
6 questions pour décider ?
ENISA-Cloud Security Alliance
Les huit risques majeurs selon l’ENISA
La Cloud Controls Matrix de la Cloud Security
Alliance
Intérêt de la certification ISO 27001
En plus de la matrice CCM-CSA
Une illustration : Office 365
Recommandations
4. Le Cloud selon le NIST*
Source : Visual Model of NIST Working Definition of Cloud (*)National Institute of Standards and
5. Jeu : 6 questions pour décider
? Quelles données seront stockées dans le Cloud ?
1.
2. Incluront-elles des données personnelles non-chiffréesClassificatio ?
n
3. Où seront stockées ces données, et le client aura-t-il un contrôle sur
l’endroit de stockage ? Protection des
Respect des
données relatives
4. Qui sera autorisé à accéder aux données, et de quels à la vie privée droits d’accès
contraintes
disposera le fournisseur de service sur les données (ou les méta- réglementaires
données relatives aux données stockées) ?
5. Quand et dans quel format les données seront-elles retournées au
client ?
6. Quels engagements significatifs le fournisseur de service est-il prêt à
faire au regard de l’accès aux données, leur conservation, protection et
sécurité ?
http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-
492577/
6. Jeu : 6 questions pour décider
? Quelles données seront stockées dans le Cloud ?
1.
2. Incluront-elles des données personnelles non-chiffrées ?d’accès, Contrôle
délégation, définition
3. Où seront stockées ces données, et le client aura-t-ildroits des un contrôle sur
l’endroit de stockage ?
4. Qui sera autorisé à accéder aux données, et de quels droits d’accès
disposera le fournisseur de service sur les données (ou les méta-
Engagements contractuels sur Réversibilité
données relatives aux données stockées) ? des données
la protection
5. Quand et dans quel format les données seront-elles retournées au
client ?
6. Quels engagements significatifs le fournisseur de service est-il prêt à
faire au regard de l’accès aux données, leur conservation, protection et
sécurité ? is an attorney whose practice focuses exclusively on information technology-related
Milton L. Petersen
transactions and issues
http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-
492577/
8. Deux documents
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
incontournables
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
assessment/at_download/fullReport
9. Les risques selon ENISA
Focus sur les 8 risques considérés
comme les plus critiques selon la
matrice
Méthode de classification des
risques ISO/IEC 27005:2008
Source : Cloud Computing, Benefits risks and recommendations for information security
(ENISA)
10. Les 8 risques majeurs
Risques politiques et organisationnels
R.2 : PERTE DE GOUVERNANCE
R.3 : DEFIS LIES A LA CONFORMITE
Risques Techniques
R.9 : DEFAUT D’ISOLATION
R.10 : UTILISATION MALICIEUSE INTERNE AU
FOURNISSEUR
R.11 : COMPROMISSION DE L’INTERFACE DE
GESTION
Risques :Légaux
R.14 INEFFICACITE DE LA SUPPRESSION DES
DONNEES
R.22 : RISQUES LIES AUX CHANGEMENTS DE
JURIDICTIONS
R.23 : RISQUES LIES A LA PROTECTION DES
DONNEES
Risques non-spécifiques au Cloud
R.26 : ADMINISTRATION RESEAU
11. R.2 Perte de gouvernance
Implémentatio Mauvaise organisation de la sécurité chez le fournisseur
n sécurité Séparation des fonctions et droit d'accès minimal
Verrouillage fournisseur par adhérences non connues
Réversibilité Verrouillage fournisseur par technologies non
standards
Protection contre cessation d’activité du fournisseur
Perte de Impossibilité de mener des tests de vulnérabilité
Cloud
contrôle
Maturité client Rôle et responsabilités client
Contrat Conflit de clauses de SLA
12. La Cloud Controls Matrix CSA
Conformité Gouvernanc Sécurité des Ressources
e des installations humaines
données
Sécurité de Juridique Gestion des Gestion du
l’information opérations risque
Gestion du Continuité Architecture
changement de l’activité de sécurité
13. La Cloud Controls Matrix CSA
Conformité Gouvernanc Sécurité des Ressources
e des installations humaines
données
• Propriété, classification
• Manipulation-étiquetage
• Audits par des organismes • Politique de conservation,
indépendants du fournisseur mise au rebut
Cloud • Fuite d’information
• Audit des fournisseurs tiers • Evaluation des risques liés à la
• Contrôle d’accès aux
• Respect des exigences légales gouvernance
bâtiments et actifs physiques
• Sélection des personnels
et réglementaires
• Protection périmétrique
• Vérification des antécédents
• Autorisation de transfert hors-
• Responsabilité sécurité dans
locaux contrat de travail
• Inventaire des actifs fin de contrat
• Procédures de
14. La Cloud Controls Matrix CSA
Conformité Gouvernanc Sécurité des Ressources
e des • Accords de confidentialité
installations humaines
• d’un Système de Management
données • Mise en œuvreAccords conclus avec des tiers
de la Sécurité de l’Information (SMSI)
• Implication du management
• Politique de sécurité et réexamen régulier
Sécurité de • Gestion et vérification des accès utilisateurs
Juridique • Séparation des fonctions
l’information • Chiffrement des informations sensibles et
protection des clés
• Gestion des vulnérabilités et des correctifs
• Gestion des incidents
• Sécurité des services réseau
• Restriction d’accès aux utilitaires
15. La Cloud Controls Matrix CSA
Conformité Gouvernanc Sécurité des Ressources
e des installations humaines
données
Sécurité de Juridique Gestion des Gestion du
l’information opérations risque
• Elaboration et maintien d’un cadre de gestion du
risque
• Evaluations des risques à intervalles réguliers • Définition des politiques et procédures
• Processus d’atténuation/acceptation • Documentations
• Prise en compte des résultats dans les politiques, • Planification du dimensionnement des
procédures, normes et contrôles ressources
• Gestion de l’accès des tiers • Maintenance du matériel
16. La Cloud Controls Matrix CSA
• Vérification des exigences contractuelles et
réglementaires
Conformité •
Sécurité des continuité d’activité
GouvernancProgramme de gestion de lal’accès au service, authentification
• Sécurité de Ressources
e des installations
utilisateur humaines
• Définition du PCA et tests à intervalles réguliers
• Garantie d’intégrité des données
données • Protection contre les menaces extérieures et
• Sécurité dans le développement des applications
environnementales
• Séparation des environnements
• Redondance électrique et communication
production/hors-production
• Développement, acquisition (logiciels,
• Segmentation Gestion du
Sécurité de Juridique
infrastructures…)
Gestion des
l’information • Journalisation risque
opérations des des accès
• Documentation, test et • Sécurité des réseaux partagés
approbation changements
• Test de qualité
• Restriction d’installation des logiciels non autorisés
Gestion du Continuité Architecture
changement de l’activité de sécurité
17. Intérêt de la certification ISO
27001 27001 : Référence pour la description des
ISO
Systèmes de Management de la sécurité des
Systèmes d’Information (SMSI)
Associé à ISO 27002 : description des bonnes
pratiques
Importance du périmètre
Datacenter + service
Couverture de la matrice de
contrôles CSA
18. En plus de la matrice CCM-CSA
Maturité client Respect vie privée Intégration existant
• Détermination des données
• Classification des privées • Support de la fédération
données • Respect des contraintes d’identité (standards)
• Choix du modèle de réglementaires par le • Synchronisation des
déploiement fournisseur identités
• Mise en correspondance • Transfert entre juridictions • Support multi-fournisseurs
des politiques de sécurité
• Formation équipe client Réversibilité
Aspects
au Cloud (y compris
contractuels
• Service Level Agreement
juristes)
• Conditions de sortie • Récupération des données
• Programme de gestion
de risque et de • Pénalités (indisponibilité, • Suppression des
conformité fuite d’information) adhérences
• Gestion des identités et • Réponse aux assignations • Coût
des droits d’accès
21. Connecting Framework to
Certifications INFORMATION SECURITY POLICY
PRIVACY AND SERVICE
SECURITY
REGULATORY CONTINUITY
COMPLIANCE MANAGEMENT
Continual Audits and
improvement of certifications against
framework framework
Office 365 Certifications:
ISO27001
SAS70 Type II / SSAE16 SOC 1
type I
EU Safe Harbor Framework
FISMA
EU Model Clauses
22. What is Privacy ?
Privacy refers to the different laws and regulations applicable to
the protection of Personal Data.
Personal data' shall mean any information relating to an
identified or identifiable natural person; an identifiable person is
one who can be identified, directly or indirectly, in particular by
reference to an identification number or to one or more factors
specific to his physical, physiological, mental, economic,
cultural or social identity (source: EU Directive 95/46/EC)
23. Why EU Safe Harbor ?
The European Union, through the EU Data Protection Directive, has stricter privacy rules than
the U.S. and most other countries. To enforce these rules, the EU generally prohibits personal
data from crossing borders into other countries except under circumstances in which the
transfer has been legitimated by a recognized mechanism, such as the "Safe Harbor"
certification described below.
To allow for the continual flow of information required by international business, the European
Commission reached agreement with the U.S. Department of Commerce, whereby U.S.
organizations can self-certify as complying with the Safe Harbor principles, which track
loosely to the requirements of the Directive.
For a business to legally transfer data from the EU to the U.S., the U.S. company or other
organization must publicly certify that it will comply with Safe Harbor principles, which align to
the EU's privacy rules. Microsoft Online Services can transfer data from the EU to the U.S. for
processing because Microsoft is Safe Harbor certified.
Customers are encouraged to review the principles of the certification though the following
link, along with Microsoft's certification on the Department of Commerce website: Safe Harbor
Framework and Certification.
24. Why EU Model Clauses ?
CNIL: Loi du 6/1/78, MAJ le 6/8/2006 (Directive EU: 95/46/CE)
Microsoft commits on Model Clauses (« clauses contractuelles types » en Français)
qui fournit un niveau adéquat de protection des données personnelles.
For more information, CNIL provides many details about the Model Clauses on its website (extract
below) :
http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CNIL-transferts-CCT.pdf
25. Standard RFI and ISO Mapping
•
•
•
Standard Response to Request for Information –
Security and privacy
26. Trust Center
Trust Center
Public website with FAQs. Microsoft's way of enabling customers to make the best and most informed
decisions by providing the transparency they require.
Data Use Limits Regulatory Compliance
–List of activities in which we access –Clarification on Microsoft policy on
customer data compliance
–Assurance data is not used for other –FAQ on major compliance
commercial purposes such as requirements
advertising
Tools to Understand Privacy and
Administrative Access Security
–Explanation of types of data we track –Explanation on how to get notified of
access security programs
–How customer can attain the access logs –Handling of account management and
billing information
Geographic Boundaries –Link to Security and Privacy
Supplement
–Disclosure of customer data locations
based on “ship to” address *Third Parties
–Listing of subcontractors
Security, Audits and Certifications used
–Links to third party audits and
certifications for Office 365 and Microsoft
datacenter
28. Contractual documents …
Privacy Statement: Office 365 Privacy and Security
Supplement :
http://www.microsoftvolumelicensing.com/DocumentSearc
h.aspx?Mode=3&DocumentTypeId=31
Specific clause like : Online Services expiration or termination or suspension / Online
Service Updates / Customer Data / Privacy …
Services Level Agreement :
http://www.microsoftvolumelicensing.com/DocumentSearc
h.aspx?Mode=3&DocumentTypeId=37
29. Recommandations
Ne vous fiez pas à un questionnaire en 6 points ;-)
Evaluez le fournisseur en fonction des contrôles de la
matrice de la Cloud Security Alliance
Voir exemple Office 365
ISO 27001 constitue une première garantie sur une prise
en compte sérieuse de la sécurité par le fournisseur
D’autres sujets sont à traiter comme la maturité du client
pour être « Cloud ready »
Assister à la session « Cloud & Sécurité : une approche
pragmatique pour les RSSI (SEC2203) » ;-)
30. Références
Guide ENISA
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
assessment/at_download/fullReport
Guide CSA
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Cloud Controls Matrix CSA
https://cloudsecurityalliance.org/
Data Governance - Moving to Cloud Computing (Microsoft White
Paper/ Trustworthy Computing)
http://www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&i
d=6098
Livre « Securing the Cloud » de Vic Winkler chez Syngress
31. Références Office 365
Standard Response to Request for Information – Security
and privacy
http://go.microsoft.com/fwlink/?LinkId=213081&clcid=0x40
9
http://www.microsoft.com/online/legal/v2/?docid=21&langi
d=en-us
L’approche est bonne mais incomplète car orientée principalement sur les aspects conformité et contractuel; rien d’étonnant car l’article a été publié par un avocat !La question 6 est beaucoup trop générale.
ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
TODO :
droit d'accès minimal =least privilege
Side-channel = canaux cachés
droit d'accès minimal =least privilege
Conformité : audits planifiés et à intervalles réguliers effectués par des organismes indépendants pour vérifier le respect des certifications, exigences réglementairesGouvernance des données : classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité
The key questions most of our customers have when they embark on the journey to implement online cloud solutions are summarizes across each decision point.In addition we also have the identified the stakeholders which typically need to be involved in making the decision. Part of our meeting today is to understand who you specifically see as part of these decisions and to map names to each of these decisions.[Note to speaker: read through some of the key decision points and conversations]
The compliance strategy is based on a proactive continual compliance approach to minimize risk and secure the environment. The Risk Management pillars each feed into our compliance management program. This program is then backed up by independent third-party audits on a periodic basis to provide greater assurance to Microsoft customers.
Question fromBlackbelt: Does O365 have polies and procedures for handling secure disposal of data? As most people don’t know the answer of this off the top of their head where you would go to find the detailed information is the Standard RFI look up the control and if you still needed more information use the referenced ISO # to look up even more information.Second question – Why didn’t we put more detailed information into the RFI document? External Standards and the details around internal controls and the environment are constantly changing thus it is better to map to the standard where the minimums are defined as opposed to policies and baselines. Do not bring up background checks
The Microsoft Online Services Trust Center is live as of 6/28 and provides in-depth information about our privacy and security practices related to Microsoft's Office 365 offerings. The purpose of the site is to disclose more detailed information about our commitment to privacy and data handling in simple terms that many of our customers have been asking for, especially in the cloud environment. We hope this information will help customers understand and assess our practices for handling and securing data on Microsoft Online Services. Documentation includes: how customer data will be used, who has access to the data, where people with access are located and how customers can be notified of changes to our program.