SlideShare uma empresa Scribd logo

The Dark Side Of The Cloud

Robert Viseur
Robert Viseur

Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.

TecnologiaNegócios
1 de 19
Baixar para ler offline
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? » . The Dark Side Of The Cloud . Robert Viseur (robert.viseur@cetic.be)
Qui suis-je? • Nom : Robert VISEUR (www.robertviseur.be). • Formation : Ingénieur civil en Informatique et Gestion (AIMs) et Docteur en Sciences Appliquées. • Activités professionnelles : • Ingénieur de recherche senior au CETIC (www.cetic.be). • Assistant dans le service d'Économie et de Management de l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be), UMons (www.umons.ac.be). • Compétences : ebusiness, management de l'innovation, management Open Source (modèles d'affaires, valorisation, sélection de technologies,...), moteurs de recherche (API, indexation fulltext,...),... 2
Le CETIC et le Cloud computing • Projets de recherche : • RESERVOIR (EU : FP7) • Infrastructure as a Service : framework de gestion de cloud (public, privé, hybride) avec respect des SLA et placement / migration des machines virtuelles • ComodIT (Wallonie / Europe) • Provisionnement et management automatique d'infrastructure (IaaS/PaaS) • CE-IQS (Objectif de convergence) • Equipe SST-SOA du CETIC • Composition de ressources (PaaS) • Stockage dans le Cloud : systèmes de fichiers et bases de données (NOSQL) distribués 3
Sécurité 4
Les inquiétudes sont-elles fondées ? • Selon Forrester, 68% des DSI émettent des inquiétudes quant à la sécurité des clouds. • Il y a eu des précédents pour renforcer ces craintes : • Cheval de Troie Zbot (Zeus) contre Amazon EC2 (botnet). • Opération chinoise (?) Aurora contre Google (mais aussi Symantec, Adobe Systems, Morgan Stanley,...). • Principe : exploitation d'une faille d'Internet Explorer permettant l'installation d'un malware et, ensuite, l'accès à l'Intranet de Google. 5
Quelle est la typologie des clouds ? • Il y a cloud et cloud : • Clouds privés. • Internes à l'entreprise (infrastructure virtualisée). • Clouds publics. • Externe à l'entreprise (externalisation vers un hébergeur). • Exemple : Microsoft Azure, Amazon EC2, Google App Engine,... • Clouds hybrides ou mixtes. • L'utilisation d'un cloud n'implique donc pas obligatoirement le recours à un réseau de machines extérieures au SI de l'entreprise. 6
Quelle est la typologie des risques ? • Risques internes (~70%). • Exemple : expédition d'un document confidentiel au mauvais destinataire, vols de fichiers (copie sur clef USB, piratage de copieurs informatiques,...),... • Risques externes (~30%). • Attaques sur les postes de travail (~70%). • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur Microsoft Office, sur les extensions Active X,... • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de Troie associé à un fichier PDF. • Attaques sur les serveurs (~30%). • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web, de serveurs de bases de données, d'applications ou d'erreurs de configuration,... • Sources : CERT-IST, Evidian (Bull), CNILL,... 7
Quels sont les problèmes de sécurité associés aux clouds ? • Risque d'attaque interne (malveillance) ou externe (exploitation de faille concernant directement ou indirectement l'infrastructure) sur l'hébergeur. • Risque lié à la localisation des données et des logiciels (espionnage industriel, contrefaçons, saisies judiciaires,...). • Risque d'usurpation d'identité (connexion). • Opérations de hameçonnage (phishing). • Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...). • Quels sont réellement les moyens mis en œuvre par l'hébergeur (protections techniques, procédures internes, sauvegarde, disponibilité,...) ? • « La sécurité obtenue en cachant les risques n'est qu'un leurre ». 8
Fiabilité 9
Y a-t-il des problèmes de fiabilité ? • Oui... • Exemple : Gigapanne sur Amazon (21 avril 2011). • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation d'EBS pour le stockage). • 3 jours de très fortes perturbations sur la zone « US East Region ». • 0,07% des données perdues (mais réelle transparence d'Amazon). • Cause : erreur humaine (routage) lors d'une mise à jour (pas de problème de sécurité à proprement parler -> problème de fiabilité) -> audit interne annoncé en réaction. • Causes des problèmes de fiabilité : attaques (sécurité), bug logiciel (cf. Skype), erreur humaine (cf. Amazon),... 10
Protection de la vie privée 11
Quels sont les problèmes liés à la protection de la vie privée ? • Risque de vol de données (exemple : clients, patients,...). • Causes possibles : accès aux données en interne, cloud pas sécurisé, application souffrant de failles de sécurité,... • Ne pas oublier la responsabilité du client aux yeux de la loi : mise en œuvre de mesures de protection proportionnées à la nature des données (anonymisation, chiffrement,...), séparation physique de certains types de données,... 12
Propriété des données 13
Quels sont les problèmes liés à la propriété des données ? (1/2) • Que spécifie le contrat vous liant à l'hébergeur (conditions générales d'utilisation) ? Qu'est-il prévu à la fin du contrat vous liant à lui ? • Cf. polémiques autour de Facebook. • Quelle maîtrise avez-vous réellement sur vos données ? • Récupération et exploitation de données. • Exemple d'engagement : « TIO Libre Definitions ». – OPENESS : data freedom. – FREE : data freedom, software freedom, competition freedom). 14
Quels sont les problèmes liés à la propriété des données ? (2/2) • Quelle maîtrise avez-vous réellement sur vos données (suite) ? • Problème d'intéropérabilité entre clouds. • Efforts en matière de standardisation. • Présence de plusieurs organismes (Open Grid Forum, Distributed Management Task Force, Cloud Security Alliance,...). • Exemples (logiciels IaaS) : – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds privés compatible avec différentes briques logicielles existantes. – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès uniformisé à différents technologies clouds (Amazon, Red Hat,...). • Question supplémentaire de l'accès aux données par les autorités (actions en justice). 15
Conclusion 16
A quoi dois-je faire attention (1/2) ? • Faites attention aux dispositions prévues dans le contrat vous liant à l'hébergeur (garanties de performance, responsabilités, propriété des données,...). • Faites attention à la crédibilité des promesses faites par l'hébergeur (moyens mis en œuvre). • Faites attention à la propriété des données ainsi qu'aux possibilités de migration des données et des logiciels (interopérabilité). • Faites attention à vos procédures et outils internes (règles d'accès aux données clients, procédure d'authentification,...)... • Posez vous la question du niveau de risque que vous êtes globalement prêt(e)s à prendre et... • Ne surestimez pas, en comparaison, vos propres capacités en gestion de systèmes d'information ! 17
A quoi dois-je faire attention (2/2) ? • Ces recommandations sont en fait des bonnes pratiques générales liées aux contrats d'externalisation. • Certes, le Cloud présente des limitations mais : • Les grands prestataires Cloud (Amazon, Google, Microsoft,...) sont des professionnels disposant généralement de certifications indépendantes (SAS70, ISO27001,...). • Le cloud reste excellent : • pour les charges variables et imprévisibles, • pour les données et processus non critiques. 18
Merci pour votre attention Contact: Robert VISEUR (robert.viseur@cetic.be) CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 • F. +32 71 490 799 • info@cetic.be

Recomendados

Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0Prof. Jacques Folon (Ph.D)
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 

Recomendados

Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0Prof. Jacques Folon (Ph.D)
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritée-Xpert Solutions SA
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...ESI Technologies
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiquee-Xpert Solutions SA
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Securite
SecuriteSecurite
SecuriteOussama Jock
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Audit
AuditAudit
Auditzan
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data UnlimitedAudrey Huvet
 

Mais conteúdo relacionado

Mais procurados

Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritée-Xpert Solutions SA
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...ESI Technologies
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiquee-Xpert Solutions SA
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Audit
AuditAudit
Auditzan
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 

Mais procurados (20)

Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Securite
SecuriteSecurite
Securite
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Audit
AuditAudit
Audit
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 

Destaque

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data UnlimitedAudrey Huvet
 
Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015Raj Babu
 
Virtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open SourceVirtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open SourceParis, France
 
Introduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutionsIntroduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutionsAmineAbida
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...Amazon Web Services
 
Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing Seungyun Lee
 
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...Club Alliances
 
Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?Amazon Web Services
 
Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)Guillaume Plouin
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartisHeithem Abbes
 
Windows - Cloud Azure
Windows - Cloud AzureWindows - Cloud Azure
Windows - Cloud AzureValtech
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nulsOlivier DUPONT
 
Slides cloud computing
Slides cloud computingSlides cloud computing
Slides cloud computingHaslina
 
Le Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaborativesLe Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaborativesXWiki
 

Destaque (20)

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited#DataUnlimited - Google Big Data Unlimited
#DataUnlimited - Google Big Data Unlimited
 
Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015Google cloud big data summit master gcp big data summit la - 10-20-2015
Google cloud big data summit master gcp big data summit la - 10-20-2015
 
Virtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open SourceVirtualisation Cloud Computing Saas Open Source
Virtualisation Cloud Computing Saas Open Source
 
Introduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutionsIntroduction to Cloud Computing and Open Source solutions
Introduction to Cloud Computing and Open Source solutions
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack proposition
 
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
AWS as a Data Platform for Cloud and On-Premises Workloads | AWS Public Secto...
 
Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing Issues on Big Data & Cloud Computing
Issues on Big Data & Cloud Computing
 
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
SaaS Cloud Computing Solutions-as-a-Service - Convention des Décideurs IBM - ...
 
Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?Un Voyage dans le Cloud: Qu'est-ce que AWS?
Un Voyage dans le Cloud: Qu'est-ce que AWS?
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)Faut il avoir peur du Cloud ? (USI 2011)
Faut il avoir peur du Cloud ? (USI 2011)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartis
 
Windows - Cloud Azure
Windows - Cloud AzureWindows - Cloud Azure
Windows - Cloud Azure
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nuls
 
Slides cloud computing
Slides cloud computingSlides cloud computing
Slides cloud computing
 
Le Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaborativesLe Cloud Computing et ses applications collaboratives
Le Cloud Computing et ses applications collaboratives
 

Semelhante a The Dark Side Of The Cloud

Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Infonuagique retour d'expérience
Infonuagique retour d'expérience Infonuagique retour d'expérience
Infonuagique retour d'expérienceClaude Coulombe
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Abf Gaetan Rouyer
Abf Gaetan RouyerAbf Gaetan Rouyer
Abf Gaetan RouyerBibliolab
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...Robert Viseur
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Semelhante a The Dark Side Of The Cloud (20)

Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Infonuagique retour d'expérience
Infonuagique retour d'expérience Infonuagique retour d'expérience
Infonuagique retour d'expérience
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Abf Gaetan Rouyer
Abf Gaetan RouyerAbf Gaetan Rouyer
Abf Gaetan Rouyer
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
Comment gérer le risque de lock-in technique en cas d'usage de services de cl...
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligne
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

Mais de Robert Viseur

La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...Robert Viseur
 
L'écosystème régional du Big Data
L'écosystème régional du Big DataL'écosystème régional du Big Data
L'écosystème régional du Big DataRobert Viseur
 
Piloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo numérique avec des logiciels libresPiloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo numérique avec des logiciels libresRobert Viseur
 
Exploiter les données issues de Wikipedia
Exploiter les données issues de WikipediaExploiter les données issues de Wikipedia
Exploiter les données issues de WikipediaRobert Viseur
 
Développer ses photos avec RawTherapee
Développer ses photos avec RawTherapeeDévelopper ses photos avec RawTherapee
Développer ses photos avec RawTherapeeRobert Viseur
 
Convertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec GimpConvertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec GimpRobert Viseur
 
L'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovationL'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovationRobert Viseur
 
Pechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à MonsPechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à MonsRobert Viseur
 
L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)Robert Viseur
 
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatifAnalyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatifRobert Viseur
 
Open Source Hardware for Dummies
Open Source Hardware for DummiesOpen Source Hardware for Dummies
Open Source Hardware for DummiesRobert Viseur
 
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...Robert Viseur
 
Etude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en BelgiqueEtude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en BelgiqueRobert Viseur
 
Hacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libresHacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libresRobert Viseur
 
Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !Robert Viseur
 
Comprendre les licences de logiciels libres
Comprendre les licences de logiciels libresComprendre les licences de logiciels libres
Comprendre les licences de logiciels libresRobert Viseur
 
Impact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editorsImpact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editorsRobert Viseur
 
Une introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TICUne introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TICRobert Viseur
 
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / EcosystemfOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / EcosystemRobert Viseur
 
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?Robert Viseur
 

Mais de Robert Viseur (20)

La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
La PI dans les espaces de co-création et d'innovation ouverte. Propriété inte...
 
L'écosystème régional du Big Data
L'écosystème régional du Big DataL'écosystème régional du Big Data
L'écosystème régional du Big Data
 
Piloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo numérique avec des logiciels libresPiloter son appareil photo numérique avec des logiciels libres
Piloter son appareil photo numérique avec des logiciels libres
 
Exploiter les données issues de Wikipedia
Exploiter les données issues de WikipediaExploiter les données issues de Wikipedia
Exploiter les données issues de Wikipedia
 
Développer ses photos avec RawTherapee
Développer ses photos avec RawTherapeeDévelopper ses photos avec RawTherapee
Développer ses photos avec RawTherapee
 
Convertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec GimpConvertir ses photos en N/B avec Gimp
Convertir ses photos en N/B avec Gimp
 
L'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovationL'open hardware : l'ouverture au service de l'innovation
L'open hardware : l'ouverture au service de l'innovation
 
Pechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à MonsPechakucha (Mons) : Street Art à Mons
Pechakucha (Mons) : Street Art à Mons
 
L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)L'open hardware dans l'électronique (et au delà...)
L'open hardware dans l'électronique (et au delà...)
 
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatifAnalyse des concepts de Fab Lab, Living Lab et Hub créatif
Analyse des concepts de Fab Lab, Living Lab et Hub créatif
 
Open Source Hardware for Dummies
Open Source Hardware for DummiesOpen Source Hardware for Dummies
Open Source Hardware for Dummies
 
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
Pratiques innovantes dans le secteur automobile: du champion de produit à l'i...
 
Etude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en BelgiqueEtude du secteur des prestataires FLOSS en Belgique
Etude du secteur des prestataires FLOSS en Belgique
 
Hacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libresHacker son appareil photo avec des outils libres
Hacker son appareil photo avec des outils libres
 
Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !Hacker son appareil photo, c'est possible !
Hacker son appareil photo, c'est possible !
 
Comprendre les licences de logiciels libres
Comprendre les licences de logiciels libresComprendre les licences de logiciels libres
Comprendre les licences de logiciels libres
 
Impact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editorsImpact of cloud computing on FOSS editors
Impact of cloud computing on FOSS editors
 
Une introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TICUne introduction à la co-création dans le domaine des TIC
Une introduction à la co-création dans le domaine des TIC
 
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / EcosystemfOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
fOSSa 2013 - Crossroads of openness - Wrap-up talk ! / Ecosystem
 
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?Comment valoriser les logiciels, le matériel et les oeuvres libres ?
Comment valoriser les logiciels, le matériel et les oeuvres libres ?
 

The Dark Side Of The Cloud

  • 1. Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé ? » . The Dark Side Of The Cloud . Robert Viseur (robert.viseur@cetic.be)
  • 2. Qui suis-je? • Nom : Robert VISEUR (www.robertviseur.be). • Formation : Ingénieur civil en Informatique et Gestion (AIMs) et Docteur en Sciences Appliquées. • Activités professionnelles : • Ingénieur de recherche senior au CETIC (www.cetic.be). • Assistant dans le service d'Économie et de Management de l'Innovation de la Faculté Polytechnique de Mons (mi.fpms.ac.be), UMons (www.umons.ac.be). • Compétences : ebusiness, management de l'innovation, management Open Source (modèles d'affaires, valorisation, sélection de technologies,...), moteurs de recherche (API, indexation fulltext,...),... 2
  • 3. Le CETIC et le Cloud computing • Projets de recherche : • RESERVOIR (EU : FP7) • Infrastructure as a Service : framework de gestion de cloud (public, privé, hybride) avec respect des SLA et placement / migration des machines virtuelles • ComodIT (Wallonie / Europe) • Provisionnement et management automatique d'infrastructure (IaaS/PaaS) • CE-IQS (Objectif de convergence) • Equipe SST-SOA du CETIC • Composition de ressources (PaaS) • Stockage dans le Cloud : systèmes de fichiers et bases de données (NOSQL) distribués 3
  • 5. Les inquiétudes sont-elles fondées ? • Selon Forrester, 68% des DSI émettent des inquiétudes quant à la sécurité des clouds. • Il y a eu des précédents pour renforcer ces craintes : • Cheval de Troie Zbot (Zeus) contre Amazon EC2 (botnet). • Opération chinoise (?) Aurora contre Google (mais aussi Symantec, Adobe Systems, Morgan Stanley,...). • Principe : exploitation d'une faille d'Internet Explorer permettant l'installation d'un malware et, ensuite, l'accès à l'Intranet de Google. 5
  • 6. Quelle est la typologie des clouds ? • Il y a cloud et cloud : • Clouds privés. • Internes à l'entreprise (infrastructure virtualisée). • Clouds publics. • Externe à l'entreprise (externalisation vers un hébergeur). • Exemple : Microsoft Azure, Amazon EC2, Google App Engine,... • Clouds hybrides ou mixtes. • L'utilisation d'un cloud n'implique donc pas obligatoirement le recours à un réseau de machines extérieures au SI de l'entreprise. 6
  • 7. Quelle est la typologie des risques ? • Risques internes (~70%). • Exemple : expédition d'un document confidentiel au mauvais destinataire, vols de fichiers (copie sur clef USB, piratage de copieurs informatiques,...),... • Risques externes (~30%). • Attaques sur les postes de travail (~70%). • Attaques ciblées sur Adobe Acrobat Reader, sur Internet Explorer, sur Microsoft Office, sur les extensions Active X,... • Exemple : récente attaque sur Bercy en France (G20 2011) via un cheval de Troie associé à un fichier PDF. • Attaques sur les serveurs (~30%). • Exploitation de vulnérabilités des systèmes d'exploitation, de serveurs Web, de serveurs de bases de données, d'applications ou d'erreurs de configuration,... • Sources : CERT-IST, Evidian (Bull), CNILL,... 7
  • 8. Quels sont les problèmes de sécurité associés aux clouds ? • Risque d'attaque interne (malveillance) ou externe (exploitation de faille concernant directement ou indirectement l'infrastructure) sur l'hébergeur. • Risque lié à la localisation des données et des logiciels (espionnage industriel, contrefaçons, saisies judiciaires,...). • Risque d'usurpation d'identité (connexion). • Opérations de hameçonnage (phishing). • Risque d'indisponibilité (attaque DDOS sur l'hébergeur,...). • Quels sont réellement les moyens mis en œuvre par l'hébergeur (protections techniques, procédures internes, sauvegarde, disponibilité,...) ? • « La sécurité obtenue en cachant les risques n'est qu'un leurre ». 8
  • 10. Y a-t-il des problèmes de fiabilité ? • Oui... • Exemple : Gigapanne sur Amazon (21 avril 2011). • Services affectés : Amazon EBS sur EC2 et Amazon RDS (utilisation d'EBS pour le stockage). • 3 jours de très fortes perturbations sur la zone « US East Region ». • 0,07% des données perdues (mais réelle transparence d'Amazon). • Cause : erreur humaine (routage) lors d'une mise à jour (pas de problème de sécurité à proprement parler -> problème de fiabilité) -> audit interne annoncé en réaction. • Causes des problèmes de fiabilité : attaques (sécurité), bug logiciel (cf. Skype), erreur humaine (cf. Amazon),... 10
  • 11. Protection de la vie privée 11
  • 12. Quels sont les problèmes liés à la protection de la vie privée ? • Risque de vol de données (exemple : clients, patients,...). • Causes possibles : accès aux données en interne, cloud pas sécurisé, application souffrant de failles de sécurité,... • Ne pas oublier la responsabilité du client aux yeux de la loi : mise en œuvre de mesures de protection proportionnées à la nature des données (anonymisation, chiffrement,...), séparation physique de certains types de données,... 12
  • 14. Quels sont les problèmes liés à la propriété des données ? (1/2) • Que spécifie le contrat vous liant à l'hébergeur (conditions générales d'utilisation) ? Qu'est-il prévu à la fin du contrat vous liant à lui ? • Cf. polémiques autour de Facebook. • Quelle maîtrise avez-vous réellement sur vos données ? • Récupération et exploitation de données. • Exemple d'engagement : « TIO Libre Definitions ». – OPENESS : data freedom. – FREE : data freedom, software freedom, competition freedom). 14
  • 15. Quels sont les problèmes liés à la propriété des données ? (2/2) • Quelle maîtrise avez-vous réellement sur vos données (suite) ? • Problème d'intéropérabilité entre clouds. • Efforts en matière de standardisation. • Présence de plusieurs organismes (Open Grid Forum, Distributed Management Task Force, Cloud Security Alliance,...). • Exemples (logiciels IaaS) : – OpenStack (Open Source) : technologie pour la mise en oeuvre de clouds privés compatible avec différentes briques logicielles existantes. – Deltacloud (Open Source, incubateur Apache) : API REST permettant l'accès uniformisé à différents technologies clouds (Amazon, Red Hat,...). • Question supplémentaire de l'accès aux données par les autorités (actions en justice). 15
  • 17. A quoi dois-je faire attention (1/2) ? • Faites attention aux dispositions prévues dans le contrat vous liant à l'hébergeur (garanties de performance, responsabilités, propriété des données,...). • Faites attention à la crédibilité des promesses faites par l'hébergeur (moyens mis en œuvre). • Faites attention à la propriété des données ainsi qu'aux possibilités de migration des données et des logiciels (interopérabilité). • Faites attention à vos procédures et outils internes (règles d'accès aux données clients, procédure d'authentification,...)... • Posez vous la question du niveau de risque que vous êtes globalement prêt(e)s à prendre et... • Ne surestimez pas, en comparaison, vos propres capacités en gestion de systèmes d'information ! 17
  • 18. A quoi dois-je faire attention (2/2) ? • Ces recommandations sont en fait des bonnes pratiques générales liées aux contrats d'externalisation. • Certes, le Cloud présente des limitations mais : • Les grands prestataires Cloud (Amazon, Google, Microsoft,...) sont des professionnels disposant généralement de certifications indépendantes (SAS70, ISO27001,...). • Le cloud reste excellent : • pour les charges variables et imprévisibles, • pour les données et processus non critiques. 18
  • 19. Merci pour votre attention Contact: Robert VISEUR (robert.viseur@cetic.be) CETIC a.s.b.l. • Bâtiment Eole • Rue des Frères Wright, 29/3 • B-6041 Charleroi (Belgique) • T. +32 71 490 700 • F. +32 71 490 799 • info@cetic.be