competitic comment protéger vos informations sensibles-numerique en entreprise

1

13 mars 2014

Comment protéger vos informations « sensibles »

2

CLOUD : Comment protéger vos informations "sensibles" ?

Ely de TRAVIESO

PHONESEC27 boulevard Charles Moretti

13014 Marseille

http://www.phonesec.com

Bernard FORAYLA MANUFACTURE numérique

37 rue Guibal

Pôle Média Belle de Mai

13003 Marseillehttp://www.lamanufacturenumerique.fr

3

• AGENDA :

– Les risques du Cloud

– Maîtriser sa sécurité dans les offres Cloud

– Questions / Réponses


4

• Les Risques du CLOUD


Ely de Travieso - PHONESECConsultant en lutte contre la Cybercriminalité

PARTIE 1

5

• Définition du CLOUD :Le Cloud Computing désigne une infrastructure informatique dans

laquelle les données et les logiciels sont conservés et traités à distance dans le data center du fournisseur d’informatique en nuage ou dans des centres interconnectés au moyen d’une excellente bande passante indispensable à la fluidité du système, accessibles en tant que service par le biais d’Internet.


Définition du CLOUD :• L’ explosion des données dans tous les domaines.• La connectivité n’importe quand, n’importe où et sur n’importe quel appareil.• La réorganisation des équipes informatiques• LA SÉCURITÉ

• Challenge :

6

• Les Risques du CloudLa sécurité des données est un enjeu capital pour les PME.

Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :

– La confidentialité des données– La réversibilité des données– La perte de données– La continuité et la qualité du service– La territorialité


7


8

• Les mesures de protectionLa sécurité des données est un enjeu capital pour les PME.

Avec le cloud, la gestion de la sécurité de vos informations se trouve fortement déléguée au prestataire pour couvrir les risques portant sur :

– L’analyse de risque– Le benchmark des offres Cloud– Le test d’intrusion – Le contrat commercial


9

• Sécurité dans les contrats CLOUD


Bernard FORAY – LA MANUFACTURE Coordinateur pédagogique - Formateur

PARTIE 2

10

• Définition retenue : doutes et questions soulevées– SaaS : C’est un modèle offrant des services sur

demande…• suffisamment testés ?

– …à des ressources mutualisées…• segmentation entre clients ?

– …qui peuvent être rapidement fournies…• impasse sur des fondamentaux de sécurité ?

– …et mises à jour tout en minimisant les efforts de gestion et d’interaction avec le fournisseur.


11

• Un renvoi à d’autres questions– Pose la question de la classification des données : sait-on

ce que l’on met dans le Xaas ?– Le peu de transparence des fournisseurs (parfois leur

manque de savoir-faire) et malgré un modèle économique qui peut être attrayant, il reste un doute sur la confidentialité

– Une nécessité de « customisation »• SLA, mutualisation versus segmentation entre clients, réversibilité,

sécurité des données, conformité, accès aux logs, notifications et réponses aux incidents de sécurité, propriété intellectuelle…

– Etablissement des responsabilités : RACI


12

• Degré de sécurité et de continuité


Responsabilité Service Client Fournisseur

Plutôt client IaaS Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve

Sécurité physique du matériel. Régulateur de la bande passante réseau

Equilibrée Paas Sécurité au sein de l’application

Sécurité de la plateforme

Plutôt fournisseur Saas Règles d’accès utilisateurDécision de déploiement du service

Niveaux de sécurité, détermination des accès et granularité des privilègesContrôle et réponse aux incidents. Mécanismes d’authentification, recherche de preuve

13

13

• Transfert de données pour l’initialisation du service

• Sécurisation réseau• Accès aux services et moyens

d’accès• Gestion des identifiants• Continuité de service

(pénalités/bonus)• Conditions de télémaintenance par

le fournisseur• Maintenance corrective sécurité

(impact mutualisation)• Traitement des données

– I&L : localisation des données

– Cryptage, sauvegardes, lieux de stockage

• Audit et tests intrusifs• Propriété des données• Assurances• Réversibilité (récupération,

destruction chez le prestataire)• Cascade de sous-traitants &

conformité des contrats de travail• Gouvernance (P.A.S)• Clauses limitant la possibilité pour

le prestataire de faire des choix économiques impactant la sécurité du service

– Validation de choix technologiques sans ingérence

– Correctifs de sécurité– Audit de sécurité

Nature du document : Public Interne X Restreint Confidentiel Secret

Fil rouge pour bâtir les contratsCLOUD : Comment protéger vos informations "sensibles" ?

14

• Pour plus d’information :– ENISA– Cloud Security Alliance

• matrice de contrôle croisée avec Cobit, ISO 27xxx…– Syntec : un guide contractuel du Saas– ANSSI : maîtriser les risques de l’infogérance– Des guides oui ! …mais… difficile d’appliquer un référentiel ISO

27xxx ou Sas70 sur un modèle encore peu « maîtrisé » et des processus «élastiques»


15


QUESTIONS / REPONSESQUESTIONS / REPONSES

16


Bernard [email protected]

06.51.51.03.60

Ely de [email protected] TEL : 06.29.42.42.86

17

Le dispositif Performance PME TIC

• Cette action s’insère dans le dispositif régional

• Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies de l’Information et de la Communication

• www.lenumeriquepourmonentreprise.com

18

Continuons à échanger …

: twitter.com/competitic

: communauté competitic

: lenumeriquepourmonentreprise.com

19

Retrouvez le support de présentation sur le portail

• Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages »

• Consultez le support de cette présentation : www.lenumeriquepourmonentreprise.com

20

La prochaine action

Découvrez l’impression 3D

20 mars 2014

competitic comment protéger vos informations sensibles-numerique en entreprise

Technology