SlideShare une entreprise Scribd logo

Les Outils de la CSA (Cloud Security Alliance)

Yann Riviere CCSK, CISSP, CRISC, CISM
Yann Riviere CCSK, CISSP, CRISC, CISM

Tour d'horizon des outils de la Cloud Security Alliance pour un usage sécuritaire du Cloud Computing en entreprise

Technologie
1  sur  31
Télécharger pour lire hors ligne
1
Les Outils de la Cloud Security Alliance (CSA) Yann Rivière, CISSP, CCSK @yannriviere 8 Novembre 2012 2 http://www.isaca-quebec.ca/
Qui suis-je ? – Yann Rivière – Fujitsu Canada, équipe sécurité du bureau de Québec – Passé : Industries de la défense et de l’automobile • Thales (Défense, Sécurité, Aérospatial) – Équipe sécurité des infrastructures • British Telecom – Équipe sécurité des clients – Client : Valeo, Industriel automobile – Centre de compétence sécurité du groupe Projet Google Apps entre autres. 3
Plan – Présenter les outils de la Cloud Security Alliance (CSA) – Retour d’expérience: Google Apps dans l’industrie automobile 4
Qu’est-ce que la CSA ? • Organisation à but non lucratif – 35 678 membres individuels – 123 membres corporatifs – 64 chapitres • Mission de la CSA – Promouvoir l’utilisation des meilleures pratiques sécurité dans le « Cloud Computing » – Permettre un usage sécuritaire par l’éducation et la mise à disposition d’outils 5
Les membres 6 6
Les outils de la CSA • Le guide de sécurité v3 • Security Guidance for Critical Areas of Focus in Cloud Computing • https://cloudsecurityalliance.org/guidance • La Pile GRC (Governance, Risk Management and Compliance) 7 7
Le Guide de Sécurité version 3 • Recueil des Section 1. Domaine 1 Cadre architectural meilleures pratiques Architecture pour sécuriser le Cloud Computing Domaine 2 Gouvernance et gestion du risque Domaine 3 Juridique : contrat et enquête électronique Section 2. Domaine 4 Gestion de la conformité et audit Gouvernance • Projet phare de la Domaine 5 Gestion de l’information et sécurité des données CSA Domaine 6 Interopérabilité et portabilité • V 3.0 publiée en Novembre 2011 Domaine 7 Sécurité, BCP, DRP Domaine 8 Opération du centre de données • Aligné sur les cadres Domaine 9 Gestion des incidents Section 3. Domaine 10 Sécurité des applications internationaux Opérations Domaine 11 Chiffrement et gestion des clés – Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53 Domaine 12 Identité, droit et gestion des accès Domaine 13 Virtualisation Domaine 14 SECurity As a Service 8
Le Guide de Sécurité version 3 • Exemple : Domaine 14 : « Security as a Service » Achat d’un service cloud de courriel – Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles. – Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message – Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique. 9
Le Guide de Sécurité version 3 • Exemple : Domaine 4 : « Conformité » Achat d’un service de courriel et de gestion de calendrier – Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…) – Alors • Localisation des données • Localisation des sauvegardes • Localisation des données en transit 10
La Pile GRC (Gouvernance, Risk management , Compliance) • Famille de 4 projets de recherche donnant 4 outils – CCM : Cloud Control Matrix – CAIQ : Consensus Assessment Initiative Questionnaire – Cloud Audit – Cloud Trust Protocol
12
La pile GRC : vue client/fournisseur Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 13
L’outil Cloud Control Matrix (CCM) • Cloud Control Matrix (CCM) – Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing – Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité – Mappés avec les contrôles des cadres courants tels que COBIT https://cloudsecurityalliance.org/research/ccm/ 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum 14
La CCM : exemple Extrait section sécurité des données : • Contrôle IS-19 : Gestion des clefs de chiffrement – Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit 15
La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 16
Le questionnaire CAI • Liste de 197 questions couvrant la CCM – Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud – Permet d’identifier les pratiques et contrôles de sécurité – Évaluer les niveaux de service – Ne rien « oublier » dans votre contrat – Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53 17
Le questionnaire CAI • Gestion des clef de chiffrement – Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ? – IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ? 18
La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 19
Cloud Audit (1/2) • Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit • L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence • Basé sur le protocole HTTP (Requêtes GET) – Convention de nommage et structure définies – Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53 – Draft RFC 20
Cloud Audit (2/2) • Exemples : Contrôle de la gestion des clefs de chiffrement – Cobit 4.1 : ControleDS5.8 – NIST : SP800-53 R3 SC-12 – Cloud Security Alliance : IS-19 • Requête Cobit 4.1 – GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ • Requête CSA – GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/ • Requête ISO 27002-2005 – GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/ • Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du 21 contrôle)
Cloud Audit et gestion des clefs Existe t’il une politique de gestion des clefs de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ <200 Ok, Yes + Politique de gestion des clefs 22
23
La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 24
Cloud Trust Protocol (CTP) Quelle est ma Qui a accès Où sont mes configuration à mes données ? cloud Quels sont les Quelles sont les données ? actuellement? évènements de vulnérabilités de sécurité de mon mon infrastructure ? infrastructure ?
Cloud Trust protocol • Objectif : Établir une relation de confiance avec les fournisseurs – « La confiance n’exclut pas le contrôle » – Rendre visible ce qui se passe dans le cloud – Rétablissement de la transparence – Augmente la confiance de l’utilisateur ou client potentiel – Apparition de la notion d’éléments de transparence 26
Cloud Trust protocol • Éléments de transparence – Informations : configurations, évaluation des vulnérabilités, journaux applicatif, statistiques, historique, architecture, technologie, procédures etc… • Comment ? – En répondant aux clients en temps réel ou pas (courriel) – Requêtes HTTP • Ce que vous pouvez avoir (entre autres): – Liste des utilisateurs et leurs permissions – Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS} • Nouveau service : – TaaS (Transparency as a Service) 27
CTP : Mécanique 28
La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 29
La pile GRC : Synthèse Fournit Outils Description Éléments de contrôle Guide les fournisseurs et fondamentaux assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud Computing Questionnaire de Documente quels préaudit permettant contrôles de sécurité sont d’inventorier les implantés contrôles Délivre les résultats Interface pour automatiser d’audits la collecte des informations d’audit du fournisseur Surveillance en Mécanismes pour continue des éléments demander et recevoir les de transparence affirmations et preuves de l’état courant des services chez le fournisseur
Pour conclure • CSA :Organisation jeune (3 ans) – Outils jeunes mais basés sur des cadres de références – Leader en matière de sécurité du Cloud Computing • Fort développement – 60 chapitres • Supportée par des compagnies et organisations majeures – ISACA International • Outils automatisés: en cours de développement 31

Recommandé

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
Ebios
EbiosEbios
Ebioskilojolid
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommandé

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
Ebios
EbiosEbios
Ebioskilojolid
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 IntroductionAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Industrial_Cyber_Security
Industrial_Cyber_SecurityIndustrial_Cyber_Security
Industrial_Cyber_SecurityWillianMachadoFonsec
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
CSA STAR Program
CSA STAR ProgramCSA STAR Program
CSA STAR ProgramSchellman & Company
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk AssessmentSmart Assessment
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Maganathin Veeraragaloo
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Ssi
SsiSsi
SsiHanae Guenouni
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingYann Riviere CCSK, CISSP, CRISC, CISM
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIAYann Riviere CCSK, CISSP, CRISC, CISM
 

Contenu connexe

Tendances

Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Maganathin Veeraragaloo
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 

Tendances (20)

Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Industrial_Cyber_Security
Industrial_Cyber_SecurityIndustrial_Cyber_Security
Industrial_Cyber_Security
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
CSA STAR Program
CSA STAR ProgramCSA STAR Program
CSA STAR Program
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
 
Ssi
SsiSsi
Ssi
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 

En vedette

les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 

En vedette (20)

OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
ISACA QUEBEC GIA
ISACA QUEBEC GIAISACA QUEBEC GIA
ISACA QUEBEC GIA
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 

Similaire à Les Outils de la CSA (Cloud Security Alliance)

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16Matthieu DEMOOR
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Skylads - Big Data for Telcos
Skylads - Big Data for TelcosSkylads - Big Data for Telcos
Skylads - Big Data for TelcosXavier Litt
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...CERTyou Formation
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonCLDEM
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonvsiveton
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performanceMouna Maazoun
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9CERTyou Formation
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCERTyou Formation
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administrationCERTyou Formation
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...Club Alliances
 

Similaire à Les Outils de la CSA (Cloud Security Alliance) (20)

Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16Présentation linkbynet 2015-02-16
Présentation linkbynet 2015-02-16
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Skylads - Big Data for Telcos
Skylads - Big Data for TelcosSkylads - Big Data for Telcos
Skylads - Big Data for Telcos
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
Cyccd formation-cloud-computing-modele-de-decision-de-transformation-et-d-exp...
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
Cloud computing et calcul haute performance
Cloud computing et calcul haute performanceCloud computing et calcul haute performance
Cloud computing et calcul haute performance
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngxCy9826 formation-mettre-en-oeuvre-checkpoint-ngx
Cy9826 formation-mettre-en-oeuvre-checkpoint-ngx
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration9 t332g formation-ibm-unica-campaign-8-6-administration
9 t332g formation-ibm-unica-campaign-8-6-administration
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
 

Les Outils de la CSA (Cloud Security Alliance)

  • 1. 1
  • 2. Les Outils de la Cloud Security Alliance (CSA) Yann Rivière, CISSP, CCSK @yannriviere 8 Novembre 2012 2 http://www.isaca-quebec.ca/
  • 3. Qui suis-je ? – Yann Rivière – Fujitsu Canada, équipe sécurité du bureau de Québec – Passé : Industries de la défense et de l’automobile • Thales (Défense, Sécurité, Aérospatial) – Équipe sécurité des infrastructures • British Telecom – Équipe sécurité des clients – Client : Valeo, Industriel automobile – Centre de compétence sécurité du groupe Projet Google Apps entre autres. 3
  • 4. Plan – Présenter les outils de la Cloud Security Alliance (CSA) – Retour d’expérience: Google Apps dans l’industrie automobile 4
  • 5. Qu’est-ce que la CSA ? • Organisation à but non lucratif – 35 678 membres individuels – 123 membres corporatifs – 64 chapitres • Mission de la CSA – Promouvoir l’utilisation des meilleures pratiques sécurité dans le « Cloud Computing » – Permettre un usage sécuritaire par l’éducation et la mise à disposition d’outils 5
  • 7. Les outils de la CSA • Le guide de sécurité v3 • Security Guidance for Critical Areas of Focus in Cloud Computing • https://cloudsecurityalliance.org/guidance • La Pile GRC (Governance, Risk Management and Compliance) 7 7
  • 8. Le Guide de Sécurité version 3 • Recueil des Section 1. Domaine 1 Cadre architectural meilleures pratiques Architecture pour sécuriser le Cloud Computing Domaine 2 Gouvernance et gestion du risque Domaine 3 Juridique : contrat et enquête électronique Section 2. Domaine 4 Gestion de la conformité et audit Gouvernance • Projet phare de la Domaine 5 Gestion de l’information et sécurité des données CSA Domaine 6 Interopérabilité et portabilité • V 3.0 publiée en Novembre 2011 Domaine 7 Sécurité, BCP, DRP Domaine 8 Opération du centre de données • Aligné sur les cadres Domaine 9 Gestion des incidents Section 3. Domaine 10 Sécurité des applications internationaux Opérations Domaine 11 Chiffrement et gestion des clés – Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53 Domaine 12 Identité, droit et gestion des accès Domaine 13 Virtualisation Domaine 14 SECurity As a Service 8
  • 9. Le Guide de Sécurité version 3 • Exemple : Domaine 14 : « Security as a Service » Achat d’un service cloud de courriel – Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles. – Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message – Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique. 9
  • 10. Le Guide de Sécurité version 3 • Exemple : Domaine 4 : « Conformité » Achat d’un service de courriel et de gestion de calendrier – Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…) – Alors • Localisation des données • Localisation des sauvegardes • Localisation des données en transit 10
  • 11. La Pile GRC (Gouvernance, Risk management , Compliance) • Famille de 4 projets de recherche donnant 4 outils – CCM : Cloud Control Matrix – CAIQ : Consensus Assessment Initiative Questionnaire – Cloud Audit – Cloud Trust Protocol
  • 12. 12
  • 13. La pile GRC : vue client/fournisseur Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 13
  • 14. L’outil Cloud Control Matrix (CCM) • Cloud Control Matrix (CCM) – Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing – Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité – Mappés avec les contrôles des cadres courants tels que COBIT https://cloudsecurityalliance.org/research/ccm/ 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum 14
  • 15. La CCM : exemple Extrait section sécurité des données : • Contrôle IS-19 : Gestion des clefs de chiffrement – Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit 15
  • 16. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 16
  • 17. Le questionnaire CAI • Liste de 197 questions couvrant la CCM – Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud – Permet d’identifier les pratiques et contrôles de sécurité – Évaluer les niveaux de service – Ne rien « oublier » dans votre contrat – Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53 17
  • 18. Le questionnaire CAI • Gestion des clef de chiffrement – Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ? – IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ? 18
  • 19. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 19
  • 20. Cloud Audit (1/2) • Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit • L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence • Basé sur le protocole HTTP (Requêtes GET) – Convention de nommage et structure définies – Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53 – Draft RFC 20
  • 21. Cloud Audit (2/2) • Exemples : Contrôle de la gestion des clefs de chiffrement – Cobit 4.1 : ControleDS5.8 – NIST : SP800-53 R3 SC-12 – Cloud Security Alliance : IS-19 • Requête Cobit 4.1 – GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ • Requête CSA – GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/ • Requête ISO 27002-2005 – GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/ • Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du 21 contrôle)
  • 22. Cloud Audit et gestion des clefs Existe t’il une politique de gestion des clefs de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ <200 Ok, Yes + Politique de gestion des clefs 22
  • 23. 23
  • 24. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 24
  • 25. Cloud Trust Protocol (CTP) Quelle est ma Qui a accès Où sont mes configuration à mes données ? cloud Quels sont les Quelles sont les données ? actuellement? évènements de vulnérabilités de sécurité de mon mon infrastructure ? infrastructure ?
  • 26. Cloud Trust protocol • Objectif : Établir une relation de confiance avec les fournisseurs – « La confiance n’exclut pas le contrôle » – Rendre visible ce qui se passe dans le cloud – Rétablissement de la transparence – Augmente la confiance de l’utilisateur ou client potentiel – Apparition de la notion d’éléments de transparence 26
  • 27. Cloud Trust protocol • Éléments de transparence – Informations : configurations, évaluation des vulnérabilités, journaux applicatif, statistiques, historique, architecture, technologie, procédures etc… • Comment ? – En répondant aux clients en temps réel ou pas (courriel) – Requêtes HTTP • Ce que vous pouvez avoir (entre autres): – Liste des utilisateurs et leurs permissions – Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS} • Nouveau service : – TaaS (Transparency as a Service) 27
  • 29. La pile GRC : vue globale Client : Quels sont les contrôles qui devraient être en place ? Fournisseur : Quels sont les contrôles que je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Contrôle et Client : Comment puis-je savoir si les contrôles surveillance dont j’ai besoin sont toujours fonctionnels ? dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 29
  • 30. La pile GRC : Synthèse Fournit Outils Description Éléments de contrôle Guide les fournisseurs et fondamentaux assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud Computing Questionnaire de Documente quels préaudit permettant contrôles de sécurité sont d’inventorier les implantés contrôles Délivre les résultats Interface pour automatiser d’audits la collecte des informations d’audit du fournisseur Surveillance en Mécanismes pour continue des éléments demander et recevoir les de transparence affirmations et preuves de l’état courant des services chez le fournisseur
  • 31. Pour conclure • CSA :Organisation jeune (3 ans) – Outils jeunes mais basés sur des cadres de références – Leader en matière de sécurité du Cloud Computing • Fort développement – 60 chapitres • Supportée par des compagnies et organisations majeures – ISACA International • Outils automatisés: en cours de développement 31