Cloud - Gouvernance & sécurité

• Connaitre les fondamentaux de la sécurité des SI et du Cloud
• Appréhender les principales menaces, vulnérabilités et risques du Cloud
• Connaitre les référentiels de normes et de standards pour sécuriser le Cloud
• Évaluer la maturité et le niveau de sécurité des fournisseurs Cloud
• Identifier les aspects organisationnels de la sécurité du cloud
• Identifier les bonnes pratiques et les solutions de sécurisation des opérateurs de Cloud

Introduction

• Différences entre la sécurité de l’entreprise et du Cloud
• Les notions fondamentales de la sécurité
• Les règles de sécurité

La sécurité des infrastructures virtuelles aujourd'hui

• La sécurité au sein des environnements traditionnels
• L’hyperviseur et la virtualisation du réseau
• Les risques et méthodes de sécurisation

La sécurité du Cloud

• Les acteurs de la sécurité
• Les réglementations
• Les certifications
• Travaux pratiques: présentation d’une architecture virtuelle et déploiement d’une stratégie de sécurisation

Présentation des risques

• Les données externalisables: données, métadonnées, d’authentification et sauvegardes, données de production, financières et des parties prenantes
• Processus de gestion des risques ISO 27005
• Approche qualitative & approche quantitative

Les risques critiques de par l'impact métier

• La perte de gouvernance
• La conformité
• La modification de la législation

Les risques critiques de par leur probabilité

• Échec d’isolation
• Compromission interne du Cloud Provider
• Suppression de données non sécurisées
• Gestion du réseau

Prévention & atténuation des risques

• Risques & opportunités ISO27001: prévention & atténuation des risques, les risques résiduels, la roue de Deming et l’audit
• Méthodes de diminution organisationnelle des risques
• Méthodes de diminution techniques des risques
• Travaux pratiques

Présentation de l'aspect juridique

• Contrats d’infogérance & contrats Cloud
• Gérer et assurer la sécurité des données
• La division des responsabilités

Principes généraux des contrats

• Les clauses clés: SLA, Support, Sécurité, Facturation
• L’auditabilité
• Cloud auditor & APM
• Le changement de provider : la réversibilité
• L’interopérabilité du Cloud

Les SLA

• Les SLA techniques & les SLA opérationnels
• Travaux pratiques: Analyse de SLA dans les contrats Cloud

La tarification et les licences

• Un nouveau modèle de coûts
• Capex / Opex
• Les enjeux pour les licences logicielles d’une société
• SPLA de Microsoft
• Les licences dans un environnement hybride
• Les coûts cachés
• Les outils de providers & les outils spécifiques
• Travaux pratiques: Étude des contrats de Microsoft 365 et d’un contrat SaaS

Les Best Practices : sécurisation du Cloud

• Sécurité physique & sécurité environnementale
• Gestion des accès et des identités
• Chiffrement des données
• Cryptologie

Opération & exploitation des SI

• Gestion des changements
• Sécurisation et sauvegarde des environnements
• Journalisation des évènements : sécurisation, gestion et exploitation

Continuité d'activité

• Les normes de Data Center
• PRA / PCA dans le Cloud
• Redondance des ressources
• Redondance des équipements

Acquisition, développement & maintenance des SI

• Politique de développement
• Externalisation du développement

Tiers & Ressources Humaines

• Entrée et sortie
• Rupture contractuelle
• Travaux pratiques: Passage d’un infogéreur traditionnel vers un Data Center HDS

Sécurité des flux

• La virtualisation du réseau
• La micro-segmentation
• Distributed firewall
• Le cas de VMware NSX

La sécurité entre Clouds

• Les VPN des providers
• L’interconnexion des équipements aux équipements du provider
• L’interconnexion des applications SaaS aux données dans l’entreprises
• Travaux pratiques: Fédérer des identites sous Office 365, Sécuriser des accès à AWS