Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

1,084 views
820 views

Published on

Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.

Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,084
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
46
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • http://blogs.technet.com/b/security/archive/2014/01/28/the-importance-of-data-classification.aspxhttp://download.microsoft.com/download/0/9/2/092C54E6-1F36-4698-911B-4AE1D0347897/CISO-Perspectives-Data-Classification.pdf
  • http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf
  • ENISA est un centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information, émettant des avis et recommandations et jouant le rôle de relais d’information pour les bonnes pratiques. De plus, l’agence facilite les contacts entre les institutions européennes, les états membres et les acteurs privés du monde des affaires et de l’industrie.La CSA est une organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud.On retrouve parmi ses membres, Sophos, Accenture, Google, Microsoft, At&T, CA, Deloitte, eBay, Hitachi…
  • http://fr.wikipedia.org/wiki/ISO/CEI_27005
  • Cette notion de processus itératif diffère des normes Ebios et Mehari qui traite des risques au coup par coup
  • Qui sont les bons interlocuteurs ?
  • Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analyse des risques du Cloud

    1. 1. CSAM: une offre Microsoft Consulting pour l'analyse des risques du Cloud Yann DUCHENNE Mohammed BAKKALI Microsoft France Yann.duchenne@microsoft.com Mohammed.Bakkali@microsoft.com Sécurité
    2. 2. Objectifs Adopter ensemble un langage commun sur la sécurité du Cloud Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre organisation Proposer une démarche d’analyse de risques pragmatique et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios #mstechdays Sécurité
    3. 3. AGENDA Le Cloud et les nouveaux enjeux autour de la sécurité #mstechdays La nécessité d’évaluer les risques Sécurité Les normes et la démarche CSAM, une offre d’accompagneme nt MCS
    4. 4. LE CLOUD ET LES NOUVEAUX ENJEUX AUTOUR DE LA SÉCURITÉ #mstechdays Sécurité
    5. 5. Les différentes formes de Cloud Computing 3 modèles de service – Infrastructure as a Service (IaaS) – Aller dans le Cloud – Platform as a Service (PaaS) – Construire le Cloud – Software as a Service (SaaS) – Consommer le Cloud #mstechdays Sécurité
    6. 6. Projet Cloud: interrogations majeures? A Alignement de ma stratégie avec celle de mon prestataire B Définition du besoin, du service et du prix C Intégration du Cloud dans le SI de mon entreprise D Protection et sécurité des données dans le Cloud E Licences et droits de propriété intellectuelle F Entrée et sortie du Cloud: Migration - Réversibilité #mstechdays Sécurité
    7. 7. Préoccupations majeures à l’adoption du Cloud 48% 42% 34% 29% 26% 24% % de réponses (3 choix permis /… Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants #mstechdays Sécurité
    8. 8. La sécurité dans le Cloud Résulte de la combinaison de: • Processus – Gestion des risques, des mises à jour, des configurations, etc • Personnes – Employés, sous-traitant, admins, développeurs, utilisateurs • Technologie – Pas seulement des technologies de sécurité #mstechdays Sécurité
    9. 9. Ou se situe le périmètre de responsabilité? PaaS SaaS Classification des données Classification des données Classification des données Protection des terminaux Protection des terminaux Protection des terminaux Identité / gestion des accès Identité / gestion des accès Identité / gestion des accès Application Application Application Réseaux Réseaux Réseaux Serveurs Serveurs Serveurs Niveau de confiance dans le fournisseur Cloud IaaS Géré par le client Sécurité physique Sécurité physique Délégation, perte contrôle #mstechdays Sécurité Sécurité physique Géré par le fournisseur Cloud
    10. 10. Le Cloud Service Provider est votre partenaire • Les risques que le client doit gérer: – Classification des données – Protection des terminaux • Les risques partagés – Gestion des identités et contrôle des accès • Les risques que le CSP peut vous aider à atténuer – Physiques – Liés aux réseaux #mstechdays Sécurité
    11. 11. Pourquoi classifier les données? 1. Plan Identify data assets Permet aux organisations de catégoriser les données stockées par sensibilité et impact Identity data custodian 2. Do 4. Act Deploy classification program Reclassify data La classification est utilisée depuis des décennies dans certaines organisations (Microsoft, Gouvernements, Défense, etc) 3. Check Review classification report/log #mstechdays Aide à optimiser la gestion des données pour l’adoption du Cloud Sécurité
    12. 12. Des solutions pour les données sensibles Une classification efficace nécessite une très bonne compréhension des besoins de l’organisation Une donnée classifiée comme confidentielle doit rester confidentielle au cours de son stockage, de son traitement et de son transfert Sensibilité Terminologie Model 1 Terminologie Model 2 Forte Confidentiel Restreintes Moyenne A usage interne uniquement Sensible Faible Publiques Non-restreintes #mstechdays Sécurité
    13. 13. L’importance de classifier les données • Un document de référence poublié par TWC http://download.microsoft.com/download/0/9/2/092C54E6-1F364698-911B-4AE1D0347897/CISO-Perspectives-DataClassification.pdf • Une session des techdays dédiée au sujet « Classifier vos données pour envisager sereinement le Cloud et le BYOD ! » http://www.microsoft.com/france/mstechdays/programmes/2014/fich e-session.aspx?ID=1d1241c2-fa0c-412a-82d91443597ec6b8#TQV3aF0rZkRYPHRo.99 #mstechdays Sécurité
    14. 14. Recommandations de la CNIL Cloud computing : les 7 étapes clés pour garantir la confidentialité des données Document publié le 1er juillet 2013  Recommandation n 1: Identifier clairement les données et les traitements qui passeront dans le Cloud  Recommandation n 2: Définir ses propres exigences de sécurité technique et juridique  Recommandation n 3: Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise  Et 4 autres recommandations #mstechdays Sécurité
    15. 15. LES ORGANISATIONS ET NORMES TRAITANT DE LA SÉCURITÉ DU CLOUD #mstechdays Sécurité
    16. 16. 2 organisations de référence • CSA – – • organisation pilotée par ses membres, chargée de promouvoir l’utilisation de bonnes pratiques pour fournir une assurance de la sécurité dans le cadre de l’informatique dans le Cloud https://cloudsecurityalliance.org/ ENISA – – #mstechdays centre d’excellence pour les membres de l’union Européenne et les institutions européennes sur la sécurité réseau et de l’information http://www.enisa.europa.eu/ Sécurité
    17. 17. 2 documents de références 1 2 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf #mstechdays Sécurité http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport
    18. 18. De nombreuses normes • Internationales – – – – – ISO/IEC 27005 et 31000 U.S. National Institute of Standards and Technology (NIST) Information Systems Audit and Control Association (ISACA) Information Security Forum (ISF) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) • Et françaises – Ebios – Mehari – Marion (CLUSIF) #mstechdays Sécurité
    19. 19. ISO 27005 • La norme ISO 27005:2008 décrit le processus de gestion des risques en sécurité de l’information • Précise et explicite le contenu de l’ISO 27001 • Décrit un processus itératif qui autorise une démarche en 2 phases: – Première appréciation du risque de haut niveau – Appréciation détaillée du risque dans un second temps #mstechdays Sécurité
    20. 20. Amélioration continue de la maitrise des risques •Définition des objectifs •Appréciation du risque •Construction du plan d’actions •Prise de décisions •Mise en œuvre du plan d’action Plan Do Act Check •Amélioration continue du processus #mstechdays •Contrôle et révision continue des risques Sécurité
    21. 21. Qu’est-ce qu’un risque? • « la combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51 1999) • « possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation » (ISO 27005:2008 (F) 3.2) #mstechdays Sécurité
    22. 22. Qu’est-ce qu’un risques pour le Cloud? Exposition Impact Dégâts catastrophiques probables pour l'entreprise Elevé Perte nette probable pour l'entreprise Aucune réalisation probable des objectifs opérationnels Moyen Réalisation partielle probable des objectifs opérationnels Faible Pleine réalisation probable des objectifs opérationnels L’exposition est évaluée par son effet sur le métier Probabilité Faible #mstechdays Moyen Sécurité Elevé
    23. 23. UNE PROPOSITION DE DÉMARCHE #mstechdays Sécurité
    24. 24. Démarche fondée sur le travail de la CSA – Critères de choix du fournisseur de Cloud – https://cloudsecurityalliance.org/research/ccm/ – Versus NIST (US) et ENISA (Europe) #mstechdays Sécurité
    25. 25. #mstechdays Sécurité
    26. 26. Principes de la démarche – Evaluation globale de l’entreprise sur les 15 domaines de la Cloud Security Alliance (CSA) – Evaluation focalisée sur la solution Cloud cible sur les 15 domaines de la Cloud Security Alliance (CSA) – Mise en évidence des risques acceptables et des risques à atténuer par comparaison entre la tolérance et l’exposition au risque de la solution – Elaboration des contre-mesures sur les risques à atténuer – Evaluation des risques résiduels après atténuation #mstechdays Sécurité
    27. 27. • Compléter un tableau « Enterprise Tolerance Analysis » #mstechdays Sécurité
    28. 28. • Compléter les questionnaires des domaines 1 à 15 #mstechdays Sécurité
    29. 29. • Mettre en évidence les risques a traiter #mstechdays Sécurité
    30. 30. • Mettre en évidence les risques à traiter Tolérance au risque Exposition au risque #mstechdays Sécurité
    31. 31. • Identifier les éléments « fautifs » #mstechdays Sécurité
    32. 32. • Adopter une stratégie de traitement du risque Réduction du risque Transfert du risque Détermination de contre-mesures par exemple : choix du fournisseur, ajout de contrôles, modification d’architecture, organisation, hébergement multifournisseurs (disponibilité) Transfert du risque vers le fournisseur Evitement du risque Acceptation du risque Choix de ne pas déployer le service dans le Cloud pour le scénario envisagé Décision de tolérer le risque pour l’hébergement de la solution considérée dans le Cloud Contrat de niveau de service (Service Level Agreement), pénalités Assurance Choix d’un modèle de déploiement (ex Cloud privé/hybride) #mstechdays Sécurité 4 stratégies possibles
    33. 33. • Identifier les risques résiduels #mstechdays Sécurité
    34. 34. CSAM, UNE PROPOSITION D’ACCOMPAGNEMENT MCS #mstechdays Sécurité
    35. 35. Offre de Services CSAM Cloud Microsoft Le périmètre éligible est l’un des services de Cloud Microsoft (Office 365, Azure, CRM online, Yammer, .etc.) 5 JH L’offre de service CSAM s’appuie sur un questionnaire couvrant 15 domaines. La prestation est conçue sur la base d’une charge de 5 jours. Les livrables comprennent le support de restitution ainsi qu’un document de synthèse décrivant le niveau d’exposition aux risques. #mstechdays Sécurité
    36. 36. En guise de synthèse • Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces • Des organismes reconnus (NIST, CSA, ENISA, etc.) ont déjà beaucoup travaillé sur le sujet Cloud et Sécurité – Capitalisez sur leurs ressources ainsi mises à disposition ! • Des approches d’analyse de risque spécifiques au Cloud comme celle proposée ici peuvent vous aider à adopter plus sereinement le Cloud ! • Microsoft Consulting peut vous accompagner dans cette démarche au travers de l’offre CSAM (Cloud Security Assessment Matrix) #mstechdays Sécurité
    37. 37. #mstechdays Sécurité
    38. 38. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
    39. 39. Digital is business
    40. 40. Vos interlocuteurs MCS sur l’offre CSAM Mohammed Bakkali Mohammed.Bakkali@Microsoft.com Yann Duchenne Yann.Duchenne@Microsoft.com #mstechdays Sécurité

    ×