Meeting ccimp mars 2014
-
Upload
competitic -
Category
Documents
-
view
204 -
download
4
description
Transcript of Meeting ccimp mars 2014
![Page 1: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/1.jpg)
1
13 février 2014
Comment protéger vos informations « sensibles »
![Page 2: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/2.jpg)
2
CLOUD : Comment protéger vos informations "sensibles" ?
Ely de TRAVIESO
PHONESEC27 boulevard Charles Moretti
13014 Marseille
http://www.phonesec.com
Bernard FORAYLA MANUFACTURE numérique
37 rue Guibal
Pôle Média Belle de Mai
13003 Marseillehttp://www.lamanufacturenumerique.fr
![Page 3: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/3.jpg)
3
• AGENDA :
– Les risques du Cloud
– Maîtriser sa sécurité dans les offres Cloud
– Questions / Réponses
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 4: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/4.jpg)
4
• Les Risques du CLOUD
CLOUD : Comment protéger vos informations "sensibles" ?
Ely de Travieso - PHONESECConsultant en lutte contre la Cybercriminalité
PARTIE 1
![Page 5: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/5.jpg)
5
• Définition du CLOUD :Le Cloud Computing désigne une infrastructure informatique dans
laquelle les données et les logiciels sont conservés et traités à distance dans le data center du fournisseur d’informatique en nuage ou dans des centres interconnectés au moyen d’une excellente bande passante indispensable à la fluidité du système, accessibles en tant que service par le biais d’Internet.
CLOUD : Comment protéger vos informations "sensibles" ?
Définition du CLOUD :• L’ explosion des données dans tous les domaines.• La connectivité n’importe quand, n’importe où et sur n’importe quel appareil.• La réorganisation des équipes informatiques• LA SÉCURITÉ
• Challenge :
![Page 6: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/6.jpg)
6
• Les Risques du CloudLa sécurité des données est un enjeu capital pour les PME.
Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :
– La confidentialité des données– La réversibilité des données– La perte de données– La continuité et la qualité du service– La territorialité
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 7: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/7.jpg)
7
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 8: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/8.jpg)
8
• Les mesures de protectionLa sécurité des données est un enjeu capital pour les PME.
Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :
– L’analyse de risque– Le benchmark des offres Cloud– Le test d’intrusion – Le contrat commercial
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 9: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/9.jpg)
9
• Sécurité dans les contrats CLOUD
CLOUD : Comment protéger vos informations "sensibles" ?
Bernard FORAY – LA MANUFACTURE Coordinateur pédagogique - Formateur
PARTIE 2
![Page 10: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/10.jpg)
10
• Définition retenue : doutes et questions soulevées– SaaS : C’est un modèle offrant des services sur
demande…• suffisamment testés ?
– …à des ressources mutualisées…• segmentation entre clients ?
– …qui peuvent être rapidement fournies…• impasse sur des fondamentaux de sécurité ?
– …et mises à jour tout en minimisant les efforts de gestion et d’interaction avec le fournisseur.
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 11: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/11.jpg)
11
• Un renvoi à d’autres questions– Pose la question de la classification des données : sait-on
ce que l’on met dans le Xaas ?– Le peu de transparence des fournisseurs (parfois leur
manque de savoir-faire) et malgré un modèle économique qui peut être attrayant, il reste un doute sur la confidentialité
– Une nécessité de « customisation »• SLA, mutualisation versus segmentation entre clients, réversibilité,
sécurité des données, conformité, accès aux logs, notifications et réponses aux incidents de sécurité, propriété intellectuelle…
– Etablissement des responsabilités : RACI
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 12: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/12.jpg)
12
• Degré de sécurité et de continuité
CLOUD : Comment protéger vos informations "sensibles" ?
Responsabilité Service Client Fournisseur
Plutôt client IaaS Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve
Sécurité physique du matériel. Régulateur de la bande passante réseau
Equilibrée Paas Sécurité au sein de l’application
Sécurité de la plateforme
Plutôt fournisseur Saas Règles d’accès utilisateurDécision de déploiement du service
Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve
![Page 13: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/13.jpg)
13
13
• Transfert de données pour l’initialisation du service
• Sécurisation réseau• Accès aux services et moyens
d’accès• Gestion des identifiants• Continuité de service
(pénalités/bonus)• Conditions de télémaintenance par
le fournisseur• Maintenance corrective sécurité
(impact mutualisation)• Traitement des données
– I&L : localisation des données
– Cryptage, sauvegardes, lieux de stockage
• Audit et tests intrusifs• Propriété des données• Assurances• Réversibilité (récupération,
destruction chez le prestataire)• Cascade de sous-traitants &
conformité des contrats de travail• Gouvernance (P.A.S)• Clauses limitant la possibilité pour
le prestataire de faire des choix économiques impactant la sécurité du service
– Validation de choix technologiques sans ingérence
– Correctifs de sécurité– Audit de sécurité
Nature du document : Public Interne X Restreint Confidentiel Secret
Fil rouge pour bâtir les contratsCLOUD : Comment protéger vos informations "sensibles" ?
![Page 14: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/14.jpg)
14
• Pour plus d’information :– ENISA– Cloud Security Alliance
• matrice de contrôle croisée avec Cobit, ISO 27xxx…– Syntec : un guide contractuel du Saas– ANSSI : maîtriser les risques de l’infogérance– Des guides oui ! …mais… difficile d’appliquer un référentiel ISO
27xxx ou Sas70 sur un modèle encore peu « maîtrisé » et des processus «élastiques»
CLOUD : Comment protéger vos informations "sensibles" ?
![Page 15: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/15.jpg)
15
CLOUD : Comment protéger vos informations "sensibles" ?
QUESTIONS / REPONSESQUESTIONS / REPONSES
![Page 16: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/16.jpg)
16
CLOUD : Comment protéger vos informations "sensibles" ?
Bernard [email protected]
06.51.51.03.60
Ely de [email protected] TEL : 06.29.42.42.86
![Page 17: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/17.jpg)
17
Le dispositif Performance PME TIC
• Cette action s’insère dans le dispositif régional
• Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies de l’Information et de la Communication
• www.lenumeriquepourmonentreprise.com
![Page 18: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/18.jpg)
18
Continuons à échanger …
: twitter.com/competitic
: communauté competitic
: lenumeriquepourmonentreprise.com
![Page 19: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/19.jpg)
19
Retrouvez le support de présentation sur le portail
• Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages »
• Consultez le support de cette présentation : www.lenumeriquepourmonentreprise.com
![Page 20: Meeting ccimp mars 2014](https://reader036.fdocuments.in/reader036/viewer/2022070302/548dcd85b47959da188b468e/html5/thumbnails/20.jpg)
20
La prochaine action
Découvrez l’impression 3D
20 mars 2014