View
711
Download
2
Category
Preview:
DESCRIPTION
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
Citation preview
palais des congrès Paris
7, 8 et 9 février 2012
Cloud & SécuritéQuels risques et quelles sont les questions importantes à se poser avant de migrer vers le Cloud ?Code Session : SEC2202Jean-Yves GRASSETArchitecte Technique et SécuritéDirection Technique et SécuritéMicrosoft France
Christophe VALLEEBOS Solution ArchitectOffice 365 Customer ExperienceMicrosoft Corporation
Le Cloud selon le NIST6 questions pour décider ?ENISA-Cloud Security AllianceLes huit risques majeurs selon l’ENISALa Cloud Controls Matrix de la Cloud Security AllianceIntérêt de la certification ISO 27001En plus de la matrice CCM-CSAUne illustration : Office 365Recommandations
Sommaire
Le Cloud selon le NIST*
Source : Visual Model of NIST Working Definition of Cloud Computing
(*)National Institute of Standards and Technologies
1. Quelles données seront stockées dans le Cloud ?2. Incluront-elles des données personnelles non-chiffrées ?3. Où seront stockées ces données, et le client aura-t-il un contrôle sur
l’endroit de stockage ?4. Qui sera autorisé à accéder aux données, et de quels droits d’accès
disposera le fournisseur de service sur les données (ou les méta-données relatives aux données stockées) ?
5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à
faire au regard de l’accès aux données, leur conservation, protection et sécurité ?
Jeu : 6 questions pour décider ?
http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-492577/
Classification
Protection des données relatives à la vie privée
Respect des contraintes réglementaires
1. Quelles données seront stockées dans le Cloud ?2. Incluront-elles des données personnelles non-chiffrées ?3. Où seront stockées ces données, et le client aura-t-il un contrôle sur
l’endroit de stockage ?4. Qui sera autorisé à accéder aux données, et de quels droits d’accès
disposera le fournisseur de service sur les données (ou les méta-données relatives aux données stockées) ?
5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à
faire au regard de l’accès aux données, leur conservation, protection et sécurité ?
Jeu : 6 questions pour décider ?
Milton L. Petersen is an attorney whose practice focuses exclusively on information technology-related transactions and issueshttp://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-492577/
Contrôle d’accès, délégation, définition des droits
Réversibilité
Engagements contractuels sur la protection des données
Deux organisations de référence
https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/
Deux documents incontournableshttps://cloudsecurityalliance.org/guidance/
csaguide.v3.0.pdf
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
Focus sur les 8 risques considérés comme les plus critiques selon la matriceMéthode de classification des risques ISO/IEC 27005:2008
Les risques selon ENISA
Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA)
Les 8 risques majeurs
Risques LégauxR.22 : RISQUES LIES AUX CHANGEMENTS DE JURIDICTIONSR.23 : RISQUES LIES A LA PROTECTION DES DONNEES
Risques TechniquesR.9 : DEFAUT D’ISOLATIONR.10 : UTILISATION MALICIEUSE INTERNE AU FOURNISSEURR.11 : COMPROMISSION DE L’INTERFACE DE GESTION R.14 : INEFFICACITE DE LA SUPPRESSION DES DONNEES
Risques non-spécifiques au CloudR.26 : ADMINISTRATION RESEAU
Risques politiques et organisationnelsR.2 : PERTE DE GOUVERNANCER.3 : DEFIS LIES A LA CONFORMITE
Mauvaise organisation de la sécurité chez le fournisseurSéparation des fonctions et droit d'accès minimal
R.2 Perte de gouvernanceImplémentation sécurité
Réversibilité
Verrouillage fournisseur par adhérences non connuesVerrouillage fournisseur par technologies non standardsProtection contre cessation d’activité du fournisseur Cloud
Perte de contrôle
Impossibilité de mener des tests de vulnérabilité
Maturité client Rôle et responsabilités client
Contrat Conflit de clauses de SLA
La Cloud Controls Matrix CSA
Juridique
Conformité
Gestion des opérations
Ressources humaines
Continuité de l’activité
Sécurité de l’information
Sécurité des installations
Gouvernance des données
Gestion du risque
Gestion du changement
Architecture de sécurité
La Cloud Controls Matrix CSA
Conformité Ressources humaines
Sécurité des installations
Gouvernance des données
• Audits par des organismes indépendants du fournisseur Cloud
• Audit des fournisseurs tiers• Respect des exigences légales
et réglementaires
• Propriété, classification• Manipulation-étiquetage• Politique de conservation,
mise au rebut• Fuite d’information• Evaluation des risques liés à la
gouvernance• Contrôle d’accès aux
bâtiments et actifs physiques• Protection périmétrique• Autorisation de transfert hors-
locaux• Inventaire des actifs
• Sélection des personnels• Vérification des antécédents• Responsabilité sécurité dans
contrat de travail• Procédures de fin de contrat
La Cloud Controls Matrix CSA
Juridique
Conformité Ressources humaines
Sécurité de l’information
Sécurité des installations
Gouvernance des données
• Mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI)
• Implication du management• Politique de sécurité et réexamen régulier• Gestion et vérification des accès utilisateurs• Séparation des fonctions• Chiffrement des informations sensibles et
protection des clés• Gestion des vulnérabilités et des correctifs• Gestion des incidents• Sécurité des services réseau• Restriction d’accès aux utilitaires
• Accords de confidentialité• Accords conclus avec des tiers
La Cloud Controls Matrix CSA
Juridique
Conformité
Gestion des opérations
Ressources humaines
Sécurité de l’information
Sécurité des installations
Gouvernance des données
Gestion du risque
• Définition des politiques et procédures• Documentations• Planification du dimensionnement des
ressources• Maintenance du matériel
• Elaboration et maintien d’un cadre de gestion du risque
• Evaluations des risques à intervalles réguliers• Processus d’atténuation/acceptation• Prise en compte des résultats dans les politiques,
procédures, normes et contrôles• Gestion de l’accès des tiers
La Cloud Controls Matrix CSA
Juridique
Conformité
Gestion des opérations
Ressources humaines
Continuité de l’activité
Sécurité de l’information
Sécurité des installations
Gouvernance des données
Gestion du risque
Gestion du changement
Architecture de sécurité
• Développement, acquisition (logiciels, infrastructures…)
• Documentation, test et approbation des changements• Test de qualité• Restriction d’installation des logiciels non autorisés
• Programme de gestion de la continuité d’activité• Définition du PCA et tests à intervalles réguliers• Protection contre les menaces extérieures et
environnementales• Redondance électrique et communication
• Vérification des exigences contractuelles et réglementaires
• Sécurité de l’accès au service, authentification utilisateur
• Garantie d’intégrité des données• Sécurité dans le développement des applications• Séparation des environnements
production/hors-production• Segmentation• Journalisation des accès• Sécurité des réseaux partagés
ISO 27001 : Référence pour la description des Systèmes de Management de la sécurité des Systèmes d’Information (SMSI)
Associé à ISO 27002 : description des bonnes pratiques
Intérêt de la certification ISO 27001
Importance du périmètreDatacenter + service
Couverture de la matrice de contrôles CSA
En plus de la matrice CCM-CSA
Réversibilité
• Récupération des données
• Suppression des adhérences
• Coût
Maturité client
• Classification des données
• Choix du modèle de déploiement
• Mise en correspondance des politiques de sécurité
• Formation équipe client au Cloud (y compris juristes)
• Programme de gestion de risque et de conformité
• Gestion des identités et des droits d’accès
Aspects contractuels
• Service Level Agreement
• Conditions de sortie• Pénalités
(indisponibilité, fuite d’information)
• Réponse aux assignations
Intégration existant
• Support de la fédération d’identité (standards)
• Synchronisation des identités
• Support multi-fournisseurs
Respect vie privée
• Détermination des données privées
• Respect des contraintes réglementaires par le fournisseur
• Transfert entre juridictions
Illustration : Office 365
Office 365 Enterprise Decision Framework
Decision Points & Conversations
Customer Stakeholders
Customer Questions Answered & Decisions Made
Capability & Technical Fit
IT What is BPOS? What is Office 365? How will these solutions work in my environment? Why, when and how should I transition to Office 365? How do I get ready?
Legal & Compliance Legal & Procurement What are the risks and legal / regulatory considerations?
Security, Privacy, Data Sovereignty
CSO,Legal
Is my data secure and private? Where will it be located?How does this solution comply with local regulations?
Business Value LOB Groups, CIO, CFO What is the specific shareholder value from this project?
Governance CIO & key stakeholders Who in my organization will own key decisions cloud strategy and BPOS / Office 365 specifically? How can I ensure all stakeholder needs are met, buy-in is achieved?
TransactionProcurement
& FinanceHow do I buy the solution? How do I get a deal that is advantageous to our shareholders? Why would I be interested in the updated EA (EA Amendment)?
Services & Support
ITWhat deployment consulting services do I need? How do I prepare for the migration? How do I migrate?Which support offerings underpin Office 365/BPOS?
Partners IT Which partner can / should / will provide services needed? What is the partner’s role?
Connecting Framework to Certifications
COMPLIANCE MANAGEMENT
INFORMATION SECURITY POLICY
SERVICE CONTINUITY
PRIVACY AND REGULATORYSECURITY
Office 365 Certifications: ISO27001SAS70 Type II / SSAE16 SOC 1 type IEU Safe Harbor FrameworkFISMAEU Model Clauses
Audits and certifications against
framework
Continual improvement of
framework
Privacy refers to the different laws and regulations applicable to the protection of Personal Data.
Personal data' shall mean any information relating to an identified or identifiable natural person; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity (source: EU Directive 95/46/EC)
What is Privacy ?
The European Union, through the EU Data Protection Directive, has stricter privacy rules than the U.S. and most other countries. To enforce these rules, the EU generally prohibits personal data from crossing borders into other countries except under circumstances in which the transfer has been legitimated by a recognized mechanism, such as the "Safe Harbor" certification described below.
To allow for the continual flow of information required by international business, the European Commission reached agreement with the U.S. Department of Commerce, whereby U.S. organizations can self-certify as complying with the Safe Harbor principles, which track loosely to the requirements of the Directive.
For a business to legally transfer data from the EU to the U.S., the U.S. company or other organization must publicly certify that it will comply with Safe Harbor principles, which align to the EU's privacy rules. Microsoft Online Services can transfer data from the EU to the U.S. for processing because Microsoft is Safe Harbor certified.
Customers are encouraged to review the principles of the certification though the following link, along with Microsoft's certification on the Department of Commerce website: Safe Harbor Framework and Certification.
Why EU Safe Harbor ?
Why EU Model Clauses ?
CNIL: Loi du 6/1/78, MAJ le 6/8/2006 (Directive EU: 95/46/CE)Microsoft commits on Model Clauses (« clauses contractuelles types » en Français) qui fournit un niveau adéquat de protection des données personnelles.
For more information, CNIL provides many details about the Model Clauses on its website (extract below) : http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CNIL-transferts-CCT.pdf
Standard RFI and ISO Mapping
Standard from the Cloud Security Alliance (CSA)• The Cloud Security Alliance Cloud Controls
Matrix (CCM) is specifically designed to provide fundamental security principles to guide cloud vendors and to assist prospective cloud customers in assessing the overall security risk of a cloud provider.
Standard Response to Requests For Information • Specific details about Office 365 mapped to
the new standard to assess cloud providers.
• Mapping to Microsoft's ISO certification controls.
Standard Response to Request for Information – Security and privacy
Trust Center
Public website with FAQs. Microsoft's way of enabling customers to make the best and most informed decisions by providing the transparency they require.
Data Use Limits–List of activities in which we access
customer data–Assurance data is not used for other
commercial purposes such as advertising
Administrative Access–Explanation of types of data we track
access–How customer can attain the access
logs
Geographic Boundaries–Disclosure of customer data locations
based on “ship to” address
Security, Audits and Certifications
–Links to third party audits and certifications for Office 365 and Microsoft datacenter
Regulatory Compliance –Clarification on Microsoft policy on
compliance–FAQ on major compliance
requirements
Tools to Understand Privacy and Security
–Explanation on how to get notified of security programs
–Handling of account management and billing information
–Link to Security and Privacy Supplement
*Third Parties–Listing of subcontractors used
Trust Center
Third PartiesListing of subcontractors
Privacy Statement: Office 365 Privacy and Security Supplement :http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31 Specific clause like : Online Services expiration or termination or suspension / Online Service Updates / Customer Data / Privacy …
Services Level Agreement :http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37
Contractual documents …
Ne vous fiez pas à un questionnaire en 6 points ;-)Evaluez le fournisseur en fonction des contrôles de la matrice de la Cloud Security Alliance
Voir exemple Office 365
ISO 27001 constitue une première garantie sur une prise en compte sérieuse de la sécurité par le fournisseurD’autres sujets sont à traiter comme la maturité du client pour être « Cloud ready »Assister à la session « Cloud & Sécurité : une approche pragmatique pour les RSSI (SEC2203) » ;-)
Recommandations
Guide ENISAhttp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
Guide CSAhttps://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Cloud Controls Matrix CSAhttps://cloudsecurityalliance.org/
Data Governance - Moving to Cloud Computing (Microsoft White Paper/ Trustworthy Computing) http://
www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&id=6098
Livre « Securing the Cloud » de Vic Winkler chez Syngress
Références
Standard Response to Request for Information – Security and privacyMicrosoft EU Safe Harbor Certification : http://go.microsoft.com/fwlink/?LinkId=213081&clcid=0x409Microsoft Trust Center : http://www.microsoft.com/online/legal/v2/?docid=21&langid=en-us
Références Office 365
Microsoft France39, quai du président Roosevelt
92130 Issy-Les-Moulineaux
www.microsoft.com/france
Recommended