Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud
1.
2. CSAM: une offre Microsoft
Consulting pour l'analyse des risques
du Cloud
Yann DUCHENNE
Mohammed BAKKALI
Microsoft France
Yann.duchenne@microsoft.com
Mohammed.Bakkali@microsoft.com
Sécurité
3. Objectifs
Adopter ensemble un langage commun sur la sécurité du Cloud
Poser de manière pragmatique les risques et challenges à l’adoption du
Cloud Computing dans votre organisation
Proposer une démarche d’analyse de risques pragmatique et des outils
pour évaluer l’impact du Cloud Computing dans vos scénarios
#mstechdays
Sécurité
4. AGENDA
Le Cloud et les
nouveaux enjeux
autour de la
sécurité
#mstechdays
La nécessité
d’évaluer les
risques
Sécurité
Les normes et la
démarche
CSAM, une offre
d’accompagneme
nt MCS
5. LE CLOUD ET LES NOUVEAUX
ENJEUX AUTOUR DE LA SÉCURITÉ
#mstechdays
Sécurité
6. Les différentes formes de Cloud
Computing
3 modèles de service
– Infrastructure as a Service (IaaS)
– Aller dans le Cloud
– Platform as a Service (PaaS)
– Construire le Cloud
– Software as a Service (SaaS)
– Consommer le Cloud
#mstechdays
Sécurité
7. Projet Cloud:
interrogations majeures?
A Alignement de ma stratégie avec celle de mon prestataire
B Définition du besoin, du service et du prix
C Intégration du Cloud dans le SI de mon entreprise
D Protection et sécurité des données dans le Cloud
E Licences et droits de propriété intellectuelle
F Entrée et sortie du Cloud: Migration - Réversibilité
#mstechdays
Sécurité
8. Préoccupations majeures à l’adoption du
Cloud
48%
42%
34%
29%
26%
24%
% de réponses (3 choix permis /…
Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
#mstechdays
Sécurité
9. La sécurité dans le Cloud
Résulte de la combinaison de:
• Processus
– Gestion des risques, des mises à jour, des configurations, etc
• Personnes
– Employés, sous-traitant, admins, développeurs, utilisateurs
• Technologie
– Pas seulement des technologies de sécurité
#mstechdays
Sécurité
10. Ou se situe le périmètre de responsabilité?
PaaS
SaaS
Classification des données
Classification des données
Classification des données
Protection des terminaux
Protection des terminaux
Protection des terminaux
Identité / gestion des accès
Identité / gestion des accès
Identité / gestion des accès
Application
Application
Application
Réseaux
Réseaux
Réseaux
Serveurs
Serveurs
Serveurs
Niveau de confiance dans le fournisseur Cloud
IaaS
Géré par le client
Sécurité physique
Sécurité physique
Délégation, perte contrôle
#mstechdays
Sécurité
Sécurité physique
Géré par le fournisseur Cloud
11. Le Cloud Service Provider est votre
partenaire
• Les risques que le client doit gérer:
– Classification des données
– Protection des terminaux
• Les risques partagés
– Gestion des identités et contrôle des accès
• Les risques que le CSP peut vous aider à
atténuer
– Physiques
– Liés aux réseaux
#mstechdays
Sécurité
12. Pourquoi classifier les données?
1. Plan
Identify data assets
Permet aux organisations de catégoriser les
données stockées par sensibilité et impact
Identity data
custodian
2. Do
4. Act
Deploy classification
program
Reclassify data
La classification est utilisée depuis des décennies
dans certaines organisations
(Microsoft, Gouvernements, Défense, etc)
3. Check
Review classification
report/log
#mstechdays
Aide à optimiser la gestion des données pour
l’adoption du Cloud
Sécurité
13. Des solutions pour les données sensibles
Une classification efficace nécessite une
très bonne compréhension des besoins de
l’organisation
Une donnée classifiée comme
confidentielle doit rester confidentielle au
cours de son stockage, de son traitement et
de son transfert
Sensibilité
Terminologie
Model 1
Terminologie
Model 2
Forte
Confidentiel
Restreintes
Moyenne
A usage interne
uniquement
Sensible
Faible
Publiques
Non-restreintes
#mstechdays
Sécurité
14. L’importance de classifier les données
• Un document de référence poublié par TWC
http://download.microsoft.com/download/0/9/2/092C54E6-1F364698-911B-4AE1D0347897/CISO-Perspectives-DataClassification.pdf
• Une session des techdays dédiée au sujet
« Classifier vos données pour envisager sereinement le
Cloud et le BYOD ! »
http://www.microsoft.com/france/mstechdays/programmes/2014/fich
e-session.aspx?ID=1d1241c2-fa0c-412a-82d91443597ec6b8#TQV3aF0rZkRYPHRo.99
#mstechdays
Sécurité
15. Recommandations de la CNIL
Cloud computing : les 7 étapes clés pour garantir la
confidentialité des données
Document publié le 1er juillet 2013
Recommandation n 1:
Identifier clairement les données et les traitements qui passeront dans le
Cloud
Recommandation n 2:
Définir ses propres exigences de sécurité technique et juridique
Recommandation n 3:
Conduire une analyse de risques afin d’identifier les mesures de sécurité
essentielles pour l’entreprise
Et 4 autres recommandations
#mstechdays
Sécurité
16. LES ORGANISATIONS ET NORMES
TRAITANT DE LA SÉCURITÉ DU
CLOUD
#mstechdays
Sécurité
17. 2 organisations de référence
•
CSA
–
–
•
organisation pilotée par ses membres, chargée de
promouvoir l’utilisation de bonnes pratiques pour fournir
une assurance de la sécurité dans le cadre de
l’informatique dans le Cloud
https://cloudsecurityalliance.org/
ENISA
–
–
#mstechdays
centre d’excellence pour les membres de l’union
Européenne et les institutions européennes sur la sécurité
réseau et de l’information
http://www.enisa.europa.eu/
Sécurité
19. De nombreuses normes
• Internationales
–
–
–
–
–
ISO/IEC 27005 et 31000
U.S. National Institute of Standards and Technology (NIST)
Information Systems Audit and Control Association (ISACA)
Information Security Forum (ISF)
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE)
• Et françaises
– Ebios
– Mehari
– Marion (CLUSIF)
#mstechdays
Sécurité
20. ISO 27005
• La norme ISO 27005:2008 décrit le processus de
gestion des risques en sécurité de l’information
• Précise et explicite le contenu de l’ISO 27001
• Décrit un processus itératif qui autorise une
démarche en 2 phases:
– Première appréciation du risque de haut niveau
– Appréciation détaillée du risque dans un second temps
#mstechdays
Sécurité
21. Amélioration continue de la maitrise des
risques
•Définition des objectifs
•Appréciation du risque
•Construction du plan
d’actions
•Prise de décisions
•Mise en œuvre du
plan d’action
Plan
Do
Act
Check
•Amélioration continue du
processus
#mstechdays
•Contrôle et révision
continue des risques
Sécurité
22. Qu’est-ce qu’un risque?
• « la combinaison de la probabilité d’un dommage
et de sa gravité »
(ISO/CEI 51 1999)
• « possibilité qu’une menace donnée exploite les
vulnérabilités d’un actif ou d’un groupe d’actifs et
nuise donc à l’organisation »
(ISO 27005:2008 (F) 3.2)
#mstechdays
Sécurité
23. Qu’est-ce qu’un risques pour le Cloud?
Exposition
Impact
Dégâts catastrophiques
probables pour l'entreprise
Elevé
Perte nette probable pour
l'entreprise
Aucune réalisation probable
des objectifs opérationnels
Moyen
Réalisation partielle probable
des objectifs opérationnels
Faible
Pleine réalisation probable des
objectifs opérationnels
L’exposition est évaluée par son effet
sur le métier
Probabilité
Faible
#mstechdays
Moyen
Sécurité
Elevé
25. Démarche fondée sur le travail de la CSA
– Critères de choix du fournisseur de Cloud
– https://cloudsecurityalliance.org/research/ccm/
– Versus NIST (US) et ENISA (Europe)
#mstechdays
Sécurité
27. Principes de la démarche
– Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security
Alliance (CSA)
– Evaluation focalisée sur la solution Cloud cible sur les 15 domaines de la
Cloud Security Alliance (CSA)
– Mise en évidence des risques acceptables et des risques à atténuer par
comparaison entre la tolérance et l’exposition au risque de la solution
– Elaboration des contre-mesures sur les risques à atténuer
– Evaluation des risques résiduels après atténuation
#mstechdays
Sécurité
33. • Adopter une stratégie de traitement du risque
Réduction du risque
Transfert du risque
Détermination de contre-mesures par
exemple : choix du fournisseur, ajout
de contrôles, modification
d’architecture, organisation,
hébergement multifournisseurs
(disponibilité)
Transfert du risque vers le fournisseur
Evitement du risque
Acceptation du risque
Choix de ne pas déployer le service
dans le Cloud pour le scénario
envisagé
Décision de tolérer le risque pour
l’hébergement de la solution
considérée dans le Cloud
Contrat de niveau de service (Service
Level Agreement), pénalités
Assurance
Choix d’un modèle de déploiement (ex
Cloud privé/hybride)
#mstechdays
Sécurité
4 stratégies
possibles
36. Offre de Services CSAM
Cloud
Microsoft
Le périmètre éligible est l’un des services de Cloud Microsoft
(Office 365, Azure, CRM online, Yammer, .etc.)
5 JH
L’offre de service CSAM s’appuie sur un questionnaire couvrant 15
domaines. La prestation est conçue sur la base d’une charge de 5
jours.
Les livrables comprennent le support de restitution ainsi qu’un
document de synthèse décrivant le niveau d’exposition aux risques.
#mstechdays
Sécurité
37. En guise de synthèse
• Le Cloud Computing ne concerne pas exclusivement les services
hébergés par des sociétés tierces
• Des organismes reconnus (NIST, CSA, ENISA, etc.) ont déjà
beaucoup travaillé sur le sujet Cloud et Sécurité
– Capitalisez sur leurs ressources ainsi mises à disposition !
• Des approches d’analyse de risque spécifiques au Cloud comme
celle proposée ici peuvent vous aider à adopter plus sereinement le
Cloud !
• Microsoft Consulting peut vous accompagner dans cette démarche
au travers de l’offre CSAM (Cloud Security Assessment Matrix)
#mstechdays
Sécurité
39. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Sécurité
41. Vos interlocuteurs MCS sur l’offre CSAM
Mohammed Bakkali
Mohammed.Bakkali@Microsoft.com
Yann Duchenne
Yann.Duchenne@Microsoft.com
#mstechdays
Sécurité
ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
http://fr.wikipedia.org/wiki/ISO/CEI_27005
Cette notion de processus itératif diffère des normes Ebios et Mehari qui traite des risques au coup par coup