comment microsoft gère la sécurité de ses offres de cloud public
DESCRIPTION
Vous vous posez des questions sur la sécurité des offres Cloud Microsoft ? Sur la localisation des data centers, sur le respect de la vie privée, sur la fiabilité et plus globalement sur les mesures de sécurité mises en œuvre ? Dans cette session, nous allons balayer les questions les plus fréquentes qui nous sont posées. Dans la première partie, nous ferons un tour d’horizon des ressources en ligne et nous mettrons en évidence les points les plus intéressants. Dans la seconde partie, nous vous expliquerons comment Microsoft gère et maintient la conformité, nous vous détaillerons les éléments de sécurité physique et logique des data centers Microsoft. Enfin, nous vous présenterons les critères de choix édictés par le Cloud Security Alliance.TRANSCRIPT
SEC 201 Comment
Microsoft gère la sécurité de
ses offres de Cloud public
Jean-Yves Grasset,
Arnaud Jumelet,Direction Technique
Microsoft France
Cloud
Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Global Foundation Services
Platform as a Service(PaaS)
Infrastructure as a Service (IaaS)
SecurityGlobal NetworkOperationsData Centers
Les services Cloud Microsoft
Software as a Service (SaaS)
Le Cloud Microsoft en quelques chiffres
Le Cloud Microsoft en quelques dates
ISO 27001
1er Data Center
1989 1994-95 1997 2002 2004 2006
SAS-70
FISMA
Infrastructure
Services de type Cloud
SSAE 16
Trustworthy Computing
Security Development Lifecycle
2008 2011 2012 2013
Global Foundation Services
NIST, ENISA et CSA sur la sécurité du
Cloud
TRUST CENTER OFFICE 365
Chapitre 1
TrustCenter Office 365
http://www.microsoft.com/fr-fr/office365/trust-center.aspxhttp://trust.office365.com/ (version EN)
TRUSTCENTER OFFICE 365
Conformité Office 365
Conformité/ Certifications
Office 365 • ISO/IEC 27001:2005• Clauses Contractuelles Types (EU
Model Clauses)• Accord de traitement des données
(DPA)• HIPAA• SSAE16-SOC1 Type II
DataCenter (Centre de
données)
• ISO/IEC 27001:2005, • SSAE16
SOC1 Type II/SAS 70 Type IISOC2 Type II SOC3
• FISMA
Microsoft Safe Harbor
• ISO 27001– Norme internationale de système de gestion de la sécurité de
l'information (2005)
– Décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l'Information (SMSI)
– Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002
Conformité Office 365 : ISO 27001
• Certification par le British Standards Institution– Certification sur 3 ans, audit annuel
• Importance du périmètre
• EU Model Clauses– Traite de l’autorisation du transfert des données personnelles en-
dehors de l’Union Européenne
– Atteste du respect de la conformité avec la directive européenne
95/46/EU sur la protection des données
– les organismes de réglementation ont la possibilité de bloquer
l'utilisation d'un service qui ne répond pas à potentiellement la
directive européenne sur la protection des données
Conformité Office 365 : EU Model Clauses
Conformité Office 365
MICROSOFT COMPLIANCE
FRAMEWORK FOR ONLINE
SERVICES
Chapitre 2
Organisation de la conformité
CERTIFICATION AND ATTESTATIONS
CONTROLS FRAMEWORK
• Identify and integrate• Regulatory requirements
• Customer requirements
• Assess and remediate • Eliminate or mitigate gaps in control design
PREDICTABLE AUDIT SCHEDULE
• Test effectiveness and assess risk
• Attain certifications and attestations
• Improve and optimize• Examine root cause of non-compliance
• Track until fully remediated
INDUSTRY STANDARDS AND REGULATIONS
• Sarbanes-Oxley
• PCI-DSS
• HIPAA, etc
• ISO/IEC 27001:2005
• EU Model Clauses
• FISMA/NIST 800-53
• ISO / IEC 27001:2005 certification
• SSAE 16/ISAE 3402 SOC 1, 2 and 3
• PCI DSS certification
• FISMA certification and accreditation
• And more …
Diversité des défenses
APPLICATIONSECURITE DE
L’HÔTE
IDENTITE ET
GESTION DES
ACCES
24x7x365 Réponse à incident
Transparence
DATACENTER MICROSOFT: LA
PLOMBERIE
Chapitre 3
Evolutions des datacenters Microsoft
Generation 1 Generation 2
Densité et Déploiement1.4 –1.6 PUE
Minimisation de l’impact en ressource
Capacité~2 PUE
Technologie utilisée depuis 20 ans
2011+20081989-2005 2007
Generation 3 Generation 4
Densité Confinement
Containers, PODSScalabilitéet Durabilité
1.2-1.5 PUEEconomie Air & Eau
SLA différenciés
Colocation
ITPACs & ColosRéduction des émissions carbone Dimensionnement au plus juste
1.05 –1.20 PUE Adaptation rapide au marchéRefroidissement air extérieur
Modularité
VIDEO
Visite guidée des datacenters
http://www.globalfoundationservices.com/
CLOUD SECURITY ALLIANCE / STAR
Chapitre 4
Cloud Security Alliance
(CloudSecurityAlliance.org)
CSA-STAR
• Réponses aux exigences de la
matrice CCM (Cloud Control
Matrix) de la Cloud Security
Alliance
• En version anglaise et
française
• Couverture des exigences ISO
27001
• Exigences matrice CCM
RFI Office 365
http://www.microsoft.com/fr-fr/download/details.aspx?id=26647
SYNTHÈSE
Chapitre 5
Ce que nous vous avons parcouru
ensemble
Critères de choix d’un fournisseur de Cloud
Exiger la transparence dans les politiques de sécurité et les
opérations.
Comprendre la répartition des rôles et des responsabilités avec le fournisseur de service
Cloud.
S'assurer que les données et les services peuvent être
rapatriés facilement.
Connaître la valeur des données, des processus métiers
ainsi que les obligations de conformité que vous devez
respecter.
Considérer l’agilité du fournisseur Cloud à s'adapter
aux nouvelles réglementations.
Exiger que le fournisseur ait obtenu des certifications et des rapports audits, par exemple,
ISO/IEC 27001:2005.
• Merci de votre attention!Merci de votre attention !
• Global Foundation Services Web Site & Team Blogs– www.globalfoundationservices.com
• Windows Azure– http://www.windowsazure.com
• Office 365– http://www.office365.com
Pour aller plus loin