– Cloud Computing, Sécurité

Introduction à la sécurité du Cloud Computing

• Définition du Cloud Computing (NIST, Burton Group).
• Les principaux fournisseurs et les principales défaillances déjà constatées.
• SecaaS (Security as a Service).
• Les clés d’une architecture sécurisée dans le Cloud.

La sécurité des environnements virtuels

• Les apports de la virtualisation pour la sécurité.
• Menaces et vulnérabilités spécifiques.
• Trois modèles d’intégration de la sécurité : Virtual DataCenter, Appliance matérielle et Appliance virtuelle.
• Les solutions de sécurité dédiées à la virtualisation.

La sécurité des accès réseaux au Cloud

• Vulnérabilités et enjeux de la sécurité d’accès.
• La sécurité native dans IP v4, IPsec et IP v6.
• Les protocoles : PPTP, L2TP, IPsec et VPN SSL.
• L’accès au Cloud via le Web sécurisé (https).
• Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs.

Les travaux de la Cloud Security Alliance (CSA)

• Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing.
• Les treize domaines de sécurité. Les sept principales menaces.
• La suite intégrée GRC.
• CloudAudit, Cloud Controls Matrix, Consensus Assessments Initiative Questionnaire, Cloud Trust Protocol.
• La certification CCSK (Certificate of Cloud Security Knowledge).

La sécurité du Cloud Computing selon l’ENISA

• Evaluation et gestion des risques du Cloud par la norme ISO 27005.
• Les trente-cinq risques identifiés par l’ENISA. Les recommandations ENISA pour la sécurité des Clouds gouvernementaux.

Les recommandations du NIST pour la sécurité

• Les lignes directrices pour la sécurité et la confidentialité dans le Cloud Computing public.
• Analyse des standards NIST 800-144 et NIST 800-146.

Contrôler la sécurité du Cloud

• Quel label de sécurité pour les fournisseurs : Cobit, ISO2700x, critères communs ISO 15401 ?
• Comment auditer la sécurité dans le Cloud ?
• Les outils de contrôle de sécurité orientés Cloud (Metasploit & VASTO, openVAS, xStorm, etc.).

Aspects juridiques

• Du Cloud privé au Cloud public : conséquences juridiques. Responsabilités des différents acteurs.
• La conformité réglementaire (PCI-DSS, CNIL, SOX…).
• Les précautions pour la rédaction d’un contrat.