palais des
congrès
Paris
7, 8 et 9
février 2012
Cloud & Sécuritéune approche pragmatique pour les
RSSI
Jean-Yves Grasset, CISSP, CCSK
Stanislas Quastana, CISSP, CCSK
Architectes - Microsoft France
Adopter ensemble un langage commun sur le Cloud
Poser de manière pragmatique les risques et challenges à l’adoption du Cloud Computing dans votre Système d’Information
Proposer une démarche d’analyse de risques et des outils pour évaluer l’impact du Cloud Computing dans vos scénarios
Objectifs de cette session
Qu’est-ce que le Cloud Computing ?
L’ensemble des disciplines, technologies et
modèles commerciaux utilisés pour délivrer des
capacités informatiques (logiciel, plateformes,
matériel) comme un service à la demande
?
3 modèles de
service5 caractéristiques
4 modèles de
déploiement
Source de la définition : NIST – National Institute Standard and Technology
Self service
Accès universel via le réseau
Elasticité
Service mesurable
Mise en commun de ressources
5 caractéristiques
Infrastructure
as a Service (IaaS)
Platform as a
Service (PaaS)
Software
as a Service (SaaS)
À construire
À construire
3 modèles de service
4 modèles de déploiement
Privé Public
Hybride
Communautaire
Résumé de la vue du NIST
Source : Visual Model of NIST Working Definition of Cloud Computing - http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
Quel cloud pour quel usage ? Faire le bon choix
Etape 1 : identifier et classifier vos
applications
Impacts sur l’activité & impacts techniquesCloudification
réalisable dès
aujourd’hui
Cloudification possible Attendre un peu et
réfléchir avant la
vaporisation !
Non critique pour l’entreprise
Pas de contraintes réglementaires
Contenu à faible impact
Non critique pour l’entreprise
Peu de contrainte réglementaires
Contenu à impact moyen
Critique pour l’activité
Contraintes réglementaires
Contenu à fort impact
Non distribuée
Nécessite peu de supervision
Petite base de données
Distribuée (géo / machines)
Nécessite peu de supervision
Base de données moyenne
Distribuée (géo / machines)
Nécessite une supervision avancée
Grosse base de données
Etape 2 : « cloudifier » en priorité les
applications entrant dans un des modèles
suivants “On et Off”
Application dans un Plan de reprise d’activité (PRA)Prototypage de produits
Resou
rc
e u
sag
e
Time
Inactivity
Period
UsageAverage
“Croissance rapide”
Startup ou croissance par acquisitionFusions & acquisitions
Resou
rc
e u
sag
e
Time
Average Usage
“Pic non prédictible”
Système de réponse d’urgenceActivité dépendant des évènements courants (ex: News)
Resou
rc
e u
sag
e
Time
Average Usage
“Pics prédictibles”
Traitement de la paiePériodes de ventes, de vacances…
Resou
rc
e u
sag
e
Time
Average Usage
Les services de Cloud sont les compagnons de tous les nouveaux périphériques mobiles (smartphones, tablettes…) et des réseaux sociaux
Cloud public et mobilité = même combat !
Application mobile = Cloud Computing
Application pour réseaux sociaux = Cloud Computing
Mettre en pilote ou en production une application destinée à plusieurs milliers (ou +) d’utilisateurs est désormais possible même pour une très petite société sans IT
Nouveaux services, nouveaux usages
Cloud Computing : risques &
challenges
Préoccupations majeures à l’adoption
du Cloud
Source : Gartner - “Understanding and Managing SaaS and Cloud-Computing Risks”” - Tom Scholtz – Septembre 2010. 318 répondants
48%
42%
34%
29%
26%
24%
Sécurité des services
Craintes concernant l'accès, localisation aux données, vie privée
Coûts variables et non prédictibles
Niveaux de service non adéquats (disponibilité, performances, fiabilité)
Augmente le risque pour l'activité commerciale
Perception de perte de contrôle de l'IT et des choix technologiques
% de réponses (3 choix permis / personne)
2 organisations spécialisées sur le sujet
https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/
2 documents de références
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
http://www.enisa.europa.eu/act/rm/files/deli
verables/cloud-computing-risk-
assessment/at_download/fullReport
Cloud Controls Matrix
Critères de choix du fournisseur de Cloud
Pas uniquement orienté analyse de risque
Concentré sur le sujet « Sécurité du Cloud »
Plus global
versus NIST (US) et ENISA (Europe)
Pourquoi le choix Cloud Security
Alliance ?
Une proposition de démarche
d’analyse de risques pour le
CloudAvec démos à l’appui ;-)
La démarche
Exposition, impact et probabilité
d’occurrenceExposition
Likely Full Realization of Business Objectives
Likely Partial Realization of Business Objectives
Likely No Realization of Business Objectives
Likely Net Loss to the Business
Likely Catastrophic Damage to the Business
Impact
Probabilité
Low
Medium
High
Low Medium High
L’Exposition est évaluée par son effet
sur le business
Exposition au risque = Probabilité*Impact
Domaines Risques Cloud & ToléranceG
ove
rnan
ceTe
chn
ical
Operations
Bu
sin
ess
Organizational Readiness
Reputation & Brand
Legal Issues : Contracts and Electronic Discovery
Governance & Enterprise Risk Management
Compliance and Audit Management
Application Security
Encryption and Key Management
Information Management & Data Security
Interoperability and Portability
Identity and Access Management
Virtualization
Security as a Service
Incident Response
Data Center Operations
Traditional Security, Business Continuity & Disaster Recovery
Tolerance
Tolerate Only Full Realization of Objectives
Tolerate Partial Realization of Business Objectives
Tolerate No Realization of Business Objectives
Tolerate Net Loss to the Business
Tolerate Catastrophic Damage to the Business
Cloud Risk Control Area Enterprise Risk Tolerance
Clo
ud
Se
curi
ty A
llian
ce D
om
ain
s
Exemple : application mobile
• Traitement et stockage
de données
personnelles
• Respect des
réglementations
(localisation des
données, déclaration
CNIL..)
• Protection des
informations en transit
et au repos
Le questionnaire du boss(mais assisté du RSSI)
Evaluation tolérance au
risque
Evaluation tolérance au risque
Le questionnaire Sécurité(le RSSI et « ses amis »)
Evaluation des risques de la
solution
Evaluer le risque selon les 15 domaines de la CSA
Ciblé pour le service ou l’application à faire héberger sur le Cloud
Concerne le RSSI
il s’agit d’un questionnaire sécurité !
ET le responsable/architecte du service
Qui connait le design de l’application
RSSI et le responsable de l’application sauront évaluer et proposer les contre-mesures pour le traitement du risque
Questionnaire Sécurité :
Pourquoi, pour qui ?
Evaluation des risques de la solution
Pour les questions hors-contexte (Non-Applicable), la réponse sera « Very
Low »
Comparaison Exposition vs Tolérance
(1/2)
Comparaison Exposition vs Tolérance
(2/2)
Tolérance au risque
Exposition au risque
Le traitement du risque
Stratégies d’atténuation
Chaque domaine « Remediate » doit être examiné pour identifier le ou
les items « fautifs » et définir une stratégie d’atténuation
Stratégie de traitement du risque
Evitement du risque• Choix de ne pas déployer le
service dans le Cloud
• Choix d’un modèle de déploiement
(ex Cloud privé/hybride)
Transfert du risque• Transfert du risque vers le
fournisseur
• Service Level Agreement, pénalités
• Assurance
Acceptation du risque• L’entreprise décide de tolérer le
risque pour l’hébergement de cette
solution dans le Cloud
Réduction du risque• Détermination de contre-mesures par
exemple :
• Choix du fournisseur, ajout de
contrôles, modification
d’architecture, organisation, héberge
ment multi-fournisseurs
(dsiponibilité)
Risques résiduels
Certains risques pourront être acceptés
Synthèse
Il faut bien terminer….
Le Cloud Computing ne concerne pas exclusivement les services hébergés par des sociétés tierces
Des organismes reconnus (NIST, CSA, ENISA…) ont déjà beaucoup travaillé sur le sujet Cloud & Sécurité, utilisez leurs ressources et ne réinventez pas la poudre ;-)
Pour les RSSI : des approches d’analyse de risque spécifiques au Cloud peuvent vous aider à adopter plus sereinement le Cloud.
Synthèse
ENISA
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-
computing-risk-assessment/at_download/fullReport
Cloud Security Alliance
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.
Microsoft Cloud
http://www.microsoft.com/cloud
Ressources utiles – Quelques lectures
Merci de votre attention