Extrait (30 slides) de notre support de cours CCSK Le support complet contient 400 slides - Copyright 2020 VERISAFE SAS - Tous droits réservés ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Extrait (30 slides) de notre support de cours CCSK
Le support complet contient 400 slides
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
Domaine 1 : Architectures et
concepts du Cloud Computing Architectures & Concepts du Cloud
Introduction
Les coûts dans le Cloud (OpEx vs CapEx)
Cloud computing et sécurité
Définition du Cloud computing (NIST)
Définition du Cloud computing (ISO)
La norme ISO/IEC 17788:2014
Définition du Cloud computing (CSA)
Autres définitions (CSA, ISO, NIST)
Les technologies Cloud
Le modèle de définition du NIST (SP 800-145)
Les 5 caractéristiques essentielles
Les 3 modèles de service
SPI : Software, Platform, Infrastructure
Les 4 modèles de déploiement
Combinaison des modèles de déploiement
Les modèles d'architecture et de référence
Architecture d’un service IaaS
Exemple d'architecture d'une plateforme IaaS
Plate-forme en tant que service (PaaS)
Architecture PaaS au-dessus d’un IaaS
Logiciel en tant que service (SaaS)
Exemple d'architecture d'une plateforme SaaS
Le modèle logique du Cloud
Le modèle de responsabilité partagée
Modèle de responsabilité partagée (ANSSI)
Modèle de responsabilité partagée (AWS)
Les 2 outils proposés par la CSA
Les modèles de sécurité dans le Cloud
Les 4 modèles recommandés par la CSA
L'architecture d'entreprise de la CSA
Modèle simple d’un processus sécurité Cloud
Les recommandations de la CSA
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Le modèle logique du Cloud
• Données et informations (contenu d’une
Dans cette zone, vous pouvez ajouter
vos propres notes et commentaires en
base de données, stockage de fichiers,…)
utilisant simplement Adobe Reader.
N'oubliez pas d'enregistrer votre
document avant de quitter Adobe
Reader afin de conserver vos notes ! • Applications déployées et services sous-
jacents utilisés. Exemple pour un service
PaaS : files de messages, intelligence
artificielle, services de notification,…
• Couche de gestion et d’interface avec
l'infrastructure (APIs, protocoles)
• Composants principaux d'un système
informatique (CPU, réseau et stockage)
La principale différence entre le Cloud et l'informatique
traditionnelle concerne la couche métastructure
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Le modèle de responsabilité partagée
(shared responsibility model)
IaaS PaaS SaaS
Classification des données Classification des données Classification des données
Protection des terminaux Protection des terminaux Protection des terminaux
Niveau de confiance dans le CSP
Identité / gestion des accès Identité / gestion des accès Identité / gestion des accès Géré par le client
Application Application Application
Réseaux Réseaux Réseaux
Géré par le CSP
Serveurs Serveurs Serveurs
Sécurité physique Sécurité physique Sécurité physique
Délégation, perte contrôle
à la charge du client
Classification des données, protection des terminaux, provisioning des identités
à charge partagée (CSP / Client)
Gestion des identités, contrôle des accès logiques, données
à la charge du CSP
Composants physiques (Datacenter, matériel, etc…), contrôle des accès physiques, réseaux (liens, routeurs,…)
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Procédure d’évaluation d’un fournisseur
Demander toute la documentation disponible au fournisseur
Examiner le programme de sécurité du fournisseur et sa documentation
Examiner toutes les exigences légales, réglementaires, contractuelles et juridictionnelles
Évaluer le service dans son propre contexte client (données réglementées ou sensibles)
Évaluer d’autres éléments concernant le fournisseur en tant qu’entreprise
Situation financière, stabilité, réputation, sous-traitants, assurances, etc…
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Contexte juridique des données personnelles
Vocabulaire
En France, on parle de Données à Caractère Personnel (DCP) ou encore de
données personnelles
Aux USA : Personally Identifiable Information (PII)
Notion de « Privacy »
Ce terme peut être traduit de différentes façons selon le contexte :
Intimité, vie privée ou respect de la vie privée
Confidentialité (dans un contexte de données personnelles)
Cadre historique
Les lignes directrices de l’OCDE régissant la protection de la vie privée et les flux
transfrontaliers de données à caractère personnel ont été adoptées le 23/09/1980
Principe général
Le responsable du traitement (Data Controller) a l’interdiction de collecter et de
traiter des données à caractère personnel sauf si certains critères énoncent le
contraire
Par exemple, consentement de la personne concernée
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Contexte juridique des données personnelles
Les lois de différents pays peuvent s’appliquer simultanément selon :
La localisation du fournisseur Cloud
La localisation de l'utilisateur du service Cloud
La localisation des personnes concernées
La localisation des serveurs (et donc des données)
La juridiction compétente stipulée au contrat qui lie les parties et qui peut être différente de la
localisation des entités impliquées dans le contrat
Tous les traités ou autres cadres juridiques entre ces différentes localisations
Les exigences juridiques varient
considérablement selon les
juridictions, les entités et les
cadres juridiques concernés.
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Union Européenne - Directive vs Règlement
Les directives énoncent des objectifs communs que les États membres
de l'UE doivent atteindre
Les États membres doivent modifier leur législation nationale pour atteindre ces objectifs
Chaque état doit donc transposer les directives dans leur droit national
Les règlements sont des actes législatifs contraignants qui s'appliquent
directement dans les États membres et ne nécessitent (à priori) aucune
loi nationale pour leur promulgation
Cependant, Il y a en général dans un règlement quelques latitudes laissées aux états
membres de sorte que des lois nationales peuvent venir le compléter
Proposition Publication Entrée en Règlement
de règlement au JO de l’UE vigueur applicable
25/01/2012 04/05/2016 24/05/2016 25/05/2018
Règlement 2016/679
(RGPD ou GDPR)
Promulgation
Abrogation
27/04/2016
Directive 95/46/CE
25/05/2018
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Lois fédérales américaines (US Federal Laws)
La loi Gramm-Leach-Bliley (GLBA) de 1999
Elle a réformé le secteur bancaire aux Etats-Unis dans le domaine du respect de la
vie privée. Ce texte, fortement inspiré de la directive européenne de 1995, est le
plus abouti de la législation américaine en matière de respect de la vie privée
La loi HIPAA de 1996
Health Insurance Portability and Accountability Act (HIPAA)
Cette loi exige de tous les établissements de santé qu'ils appliquent des règles
strictes pour protéger la confidentialité et l'intégrité des informations des patients
La loi HIPAA prévoit de lourdes sanctions civiles ou pénales en cas de non-respect
de ces obligations
La loi COPPA de 1998
Children's Online Privacy Protection Act (COPPA)
Elle vise à protéger la vie privée des enfants sur Internet
A ne surtout pas confondre avec la loi Child Online Protection Act (COPA) qui visait à
protéger les mineurs de la pornographie sur Internet (déclarée non conforme à la
constitution américaine)
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr
NOTES Procédure de « e-discovery »
Electronic Discovery ou e-discovery
Traduction littérale : découverte électronique
Traduction plus adaptée : preuve informatique ou preuve numérique
Définition de la CSA
Processus par lequel une partie obtient des documents privés de la partie adverse
qu’elle peut utiliser en cas de litige
Modification en 2006 des règles fédérales de procédure civile
américaines (FRCP)
Clarification des obligations concernant les informations stockées électroniquement
(Electronically Stored Information - ESI)
Les CSP et leurs clients doivent planifier la manière dont ils
pourront identifier tous les documents qui se rapportent à
une affaire donnée
Afin de pouvoir répondre aux exigences strictes imposées par la règle 26 des
FRCP concernant les ESI
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Notion de « pass-through audit »
Les attestations délivrées par des tiers sont souvent appelées
« pass-through audit »
Il s’agit d’une conformité par héritage
Le fournisseur est conforme sur un périmètre donné Cela exclut ce périmètre du
client pour sa propre conformité
Mais il reste de la responsabilité du client de créer des applications et des services
Cloud en conformité
Le client est toujours responsable du respect de la conformité concernant ses actes
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Le cycle de vie de la sécurité des données
La création consiste en la production
d’un contenu numérique nouveau
ou l’altération, la modification, la
mise à jour d’un contenu existant Le stockage consiste à
Les données sont
placer des données
définitivement
numériques sur un
détruites de manière
support (cela se produit
physique ou
généralement quasiment
numérique (exemple :
en même temps que la
cryptoshredding)
Data création)
Security
Dans l’archivage, les Lifecycle Les données sont
visualisées, traitées ou
données ne sont
bien utilisées mais ne
plus utilisées
sont pas modifiées
activement et (sinon on est dans la
entrent dans une phase création)
phase de stockage à Le partage de l’information consiste à
long terme la rendre accessible à d'autres
(collaborateurs, clients, partenaires,…)
Version complète disponible sur http://www.securosis.com/blog/data-securitylifecycle-2.0
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Virtualisation des réseaux dans le cloud
La séparation physique des réseaux au sein de la plate-forme cloud est
très importante
Pour des raisons opérationnelles et de sécurité
Dans le Cloud, il y a au moins 3 réseaux différents totalement isolés par
l’utilisation de matériels dédiés et sans communication entre eux
Un réseau de service pour communications entre les machines virtuelles et Internet. C’est ce
qui va constituer le pool de ressources réseau utilisable par les utilisateurs du cloud
Un réseau de stockage pour connecter le stockage virtuel aux machines virtuelles
Un réseau de gestion pour la gestion et le trafic API
Du plan de gestion aux nœuds
De noeuds de stockage (volumes)
à nœuds de calcul (instances)
D’internet aux noeuds de calcul
D’instance à instance
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES 2 grandes catégories : VLAN et SDN
Les réseaux locaux virtuels (VLAN)
Couramment utilisés dans les réseaux d’entreprise
Conçus pour être utilisés dans des datacenters traditionnels pour séparer différentes unités
Ils n’ont pas été pas conçus pour une virtualisation des réseaux à l’échelle du cloud, ni pour la
sécurité
Ils ne sont pas considérés comme une solution de sécurité efficace pour isoler des réseaux
Les VLANs ne remplacent en aucun cas une ségrégation physique des réseaux
Les réseaux définis par logiciel (SDN)
Objectif : rendre programmable les réseaux par le biais d’un contrôleur centralisé
Séparation claire entre le plan de contrôle et le plan de données
Le contrôleur centralisé a une visibilité sur l’ensemble du réseau (topologie et hosts)
L’administration se réalise via des API (flexibilité)
Le SDN permet de supporter plusieurs clients qui utilisent en interne les mêmes blocs
d'adresses IP
Le SDN utilise l’encapsulation de paquet : aucune modification nécessaire sur la configuration
IP des VM
Différentes implémentations de SDN sont disponibles (exemple OpenFlow)
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Périmètre défini par logiciel (SDP)
Le Software Defined Perimeter (SDP) est un modèle et des
spécifications élaborés par le SDPWG de la CSA
Le SDP combine périphérique et authentification utilisateur pour fournir dynamiquement un
accès aux ressources
Les décisions relatives à la sécurité du réseau peuvent être prises sur un plus grand nombre
de critères autre que le seul contenu des paquets IP. Le SDP peut être combiné aux réseaux
SDN pour plus de flexibilité et de sécurité
Le SDP comprend trois composants
Un client SDP installé sur le périphérique
utilisé pour la connexion (ex: ordi portable)
Le contrôleur SDP pour l’authentification
et l’autorisation des clients SDP et la
configuration des connexions aux
passerelles SDP
La passerelle SDP en terminaison du
trafic réseau du client SDP pour
appliquer les politiques réseaux
Plus d’informations sur le SDP sont disponibles sur le site de la CSA :
https://cloudsecurityalliance.org/group/software-definedperimeter/#_overview
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Surveillance et filtrage
Impact du Cloud sur le « monitoring » et le filtrage
Exemple de 3 VMs qui communiquent sur un même serveur physique
Aucun trafic réseau généré à l’extérieur du serveur physique
Invisibilité de la communication par tous les outils de surveillance ou de filtrage réseau
positionnés sur le réseau physique (blindspot)
Solution
« Bridger » tout le trafic réseau ou le rerouter vers une appliance virtuelle de sécurité
Inconvénient : augmentation du trafic réseau et création de goulots d'étranglement
Avant Après
Server 1 Server 2
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES BC en cas de perte totale d’un fournisseur
Que faire en cas de panne générale d’un fournisseur ?
Le risque peut être considéré comme acceptable. Dépend de l’historique du fournisseur,
nombre de zones géographiques, de datacenters, etc…
L’interruption du service est possible selon les exigences en matière de RTO
L’interruption doit être gérée
Exemple : affichage d’une page statique de notification (ex : via une redirection DNS)
Basculement possible vers un 2ème fournisseur
Le 2ème fournisseur ne doit pas utiliser la même infrastructure que le fournisseur principal
Le transfert de données entre fournisseurs est parfois difficile
Le déplacement de métastructures, de mesures de sécurité, de journalisation peuvent même
être impossibles entre les plates-formes
En SaaS, l'extraction et l'archivage programmés des données est souvent la seule possibilité
Pour ne pas avoir d’interruption, la récupération des données ne suffit pas car il faut une autre
application pour les exploiter
Conseil de la CSA : Testez, testez et testez !
Généralement plus facile dans le Cloud car :
Pas de limitation liée aux ressources physiques
Coûts liés aux seuls actifs utilisés pendant le test
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Développement logiciel sécurisé (cycle de vie)
SSDLC (Secure Software Development LifeCycle)
Décrit une série d'activités de sécurité
De la conception de l’application à son suivi en production
Plusieurs « frameworks » utilisés dans l'industrie
La méthodologie SDL (Security Development Lifecycle) de Microsoft
Le document NIST 800-64
La norme ISO / CEI 27034
Divers documents de l’OWASP (Open Web Application Security Project)
La CSA divise le SSDLC en 3 «méta-phases»
Conception et développement sécurisés (Secure Design and Development)
De la formation au développement de standards pour l’écriture et le test de code
Déploiement sécurisé (Secure Deployment)
Activités de sécurité et de test lors de la migration de code d'un environnement de
développement vers la production
Opérations sécurisées (Secure Operations)
Sécurisation et gestion des applications en production, y compris par des défenses
externes telles que les pare-feux d'applications Web (WAF) ou les « scan » de
vulnérabilités continus
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES SSDLC phase 1 : Formation
Formation
• Bonnes pratiques de codage sécurisé
• Rédaction des tests de sécurité
• Aspects techniques de la plate-forme cloud
• Développeurs, administrateurs et équipe sécurité : formation sur les principes
fondamentaux de la sécurité du cloud + formation technique spécifique aux fournisseurs
et plates-formes utilisées
• Idem pour les architectes et exploitants qui participent directement à l’architecture et à la
gestion de l’infrastructure cloud
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Le chiffrement en IaaS
Chiffrement des volumes de stockage
Chiffrement géré par l'instance
Le moteur de chiffrement s'exécute dans l'instance et la clé est stockée dans le volume
La clé peut être protégée par une passphrase (phrase secrète) ou par une bi-clés
Chiffrement géré en externe
Le moteur de chiffrement s'exécute dans l'instance mais les clés sont gérées à l’extérieur
Chiffrement du stockage d'objets et des fichiers
Chiffrement côté client (Client-side encryption)
On chiffre les données à l'aide d'un moteur de chiffrement intégré à l'application ou au
« device » client
Chiffrement côté serveur (Server-side encryption)
Les données sont chiffrées côté serveur (dans le cloud)
Le fournisseur a accès à la clé et exécute l’opération de chiffrement
Chiffrement par proxy (Proxy encryption)
On connecte le volume à une instance spéciale de chiffrement (appliance virtuelle)
Le proxy gère les opérations de chiffrement et conserve les clés en interne ou en externe
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES IAM - Principaux termes utilisés (1/2)
Entité (Entity)
La personne ou la «chose» qui aura une identité (individu, système, application,…)
Identité (Identity)
L'expression unique d'une entité dans un espace de noms (namespace) donné. Une même
entité peut avoir plusieurs identités numériques différentes
Identifiant (Identifier)
Le moyen par lequel une identité peut être affirmée
Attributs (Attributes)
Les différents aspects d'une identité. Les attributs peuvent être relativement statiques ou
dynamiques (adresse IP, périphérique utilisé, utilisation du MFA,...)
Personnage (persona)
L'expression d'une identité avec des attributs qui indiquent un contexte
Rôle (role)
Les identités peuvent avoir plusieurs rôles qui indiquent un contexte
Authentification (authentication ou AuthN)
Le processus de confirmation d'une identité
Authentification à multiple facteurs (MultiFactor Authentication - MFA)
Utilisation de plusieurs facteurs d’authentification ( OTP, clé USB, biométrie,…)
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES IAM - Principaux termes utilisés (2/2)
Contrôles d'accès (Access controls)
Restrictions d'accès à une ressource
Gestion des accès (Access management)
Processus de gestion des accès aux ressources
Habilitation ou autorisation (Autorization - AuthZ)
Elle permet à une identité d'accéder à quelque chose (par exemple, des données ou une fonction)
Droit (Entitlement)
Un droit permet d’associer (mapper) une identité (y compris des rôles, des personas ou des
attributs) à une autorisation. Le droit détermine ce qu'ils sont autorisés à faire
Gestion des identités fédérées (Federated Identity Management)
Processus d'affirmation d'une identité à travers différents systèmes ou organisations
Source faisant autorité (Authoritative source)
La source «racine» (root) d'une identité comme par exemple le serveur d'annuaire interne d’une
entreprise qui gère les identités des employés
Fournisseur d'identité (Identity Provider - IdP)
Un IdP est un service qui réalise l'authentification de l'utilisateur
C’est la source de l'identité dans la fédération mais pas toujours la source faisant autorité
Partie utilisatrice (Relying Party - RP)
Une RP est une application qui sous-traite sa fonction d’authentification d’utilisateur à un IdP
Le système repose sur une assertion d'identité délivrée par un fournisseur d'identité
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES SecaaS - Chiffrement et gestion des clés
Encryption and Key Management
Service de chiffrement/gestion des clés utilisable chez un ou plusieurs fournisseurs
et même on-premise (via une API)
Autre type : proxy de chiffrement à la volée des données pour les services SaaS
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Technologies associées au Cloud
Deux grandes catégories
Technologies qui reposent presque exclusivement sur le Cloud computing pour fonctionner
Technologies qui ne reposent pas nécessairement sur le Cloud mais qui sont très souvent
utilisées dans les déploiements Cloud
La CSA a identifié 4 technologies majeures
Les Megadonnées (Big Data)
Megadonnées est la traduction officielle de « Big Data », validée en août 2014 par la Commission
générale de terminologie et de néologisme
L’Internet des Objets - IdO (Internet of Things - IoT)
Les appareils mobiles (Mobile devices)
L’informatique sans serveur (Serverless computing)
Plusieurs projets et publications à la CSA
Big Data Working Group
https://cloudsecurityalliance.org/research/inactive-working-groups/#_overview
Internet of Things Working Group
https://cloudsecurityalliance.org/research/working-groups/internet-of-things/#_overview
Mobile Working Group
https://cloudsecurityalliance.org/research/inactive-working-groups/#_overview
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES ENISA : Présentation des risques
Valorisation de Valorisation Comparaison par
la vraisemblance des impacts rapport à l’IT traditionnel
Vulnérabilités
potentiellement
exploitées
Actifs
éventuellement
impactés
Niveau de risque global
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES ENISA : Les 11 risques majeurs
Policy and organizational risks Legal risks
R.1 Lock-in R.21 Subpoena and e-discovery
R.2 Loss of governance R.22 Risk from changes of jurisdiction
R.3 Compliance challenges R.23 Data protection risks
R.4 Loss of business reputation due to co-tenant activities R.24 Licensing risks
R.5 Cloud service termination or failure
R.6 Cloud provider acquisition
R.7 Supply chain failure Risks not specific to the cloud
R.25 Network breaks
Technical risks R.26 Network management (ie, network congestion / mis-
R.8 Resource exhaustion (under or over provisioning) connection / non-optimal use)
R.9 Isolation failure R.27 Modifying network traffic
R.10 Cloud provider malicious insider - abuse of high privilege roles R.28 Privilege escalation
R.11 Management interface compromise (manipulation, availability of R.29 Social engineering attacks (ie, impersonation)
infrastructure) R.30 Loss or compromise of operational logs
R.12 Intercepting data in transit R.31 Loss or compromise of security logs (manipulation of
R.13 Data leakage on up/download, intra-cloud forensic investigation)
R.14 Insecure or ineffective deletion of data R.32 Backups lost, stolen
R.15 Distributed denial of service (DDoS) R.33 Unauthorized access to premises (including physical access
to machines and other facilities)
R.16 Economic denial of service (EDOS)
R.34 Theft of computer equipment
R.17 Loss of encryption keys
R.35 Natural disasters
R.18 Undertaking malicious probes or scans
R.19 Compromise service engine
R.20 Conflicts between customer hardening procedures and cloud environment
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES ENISA : Les 23 actifs potentiellement impactés
A1. Company reputation A13. User directory (data)
A2. Customer trust A14. Cloud service management interface
A3. Employee loyalty and experience A15. Management interface APIs
A4. Intellectual property A16. Network (connections, etc)
A5. Personal sensitive data A17. Physical hardware
A6. Personal data A18. Physical buildings
A7. Personal data – critical A19. CP Application (source code)
A8. HR data A20. Certification
A9. Service delivery – real time service A21. Operational logs (customer and CSP)
A10. Service delivery A22. Security logs
A11. Access control / authentication / A23. Backup or archive data
authorization (root/admin)
A12. Credentials
Perceived Value : Very High High Medium or Low
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Synthèse des 11 risques majeurs de l’ENISA
Risques (11) Vulnérabilités (29) Actifs impactés (12)
R1 V13 V31 V46 V47 A1 A5 A6 A7 A9 A10
R2 V13 V14 V16 V21 V22 V23 V25 V26 V29 V30 V31 V34 V35 V44 A1 A2 A3 A5 A6 A7 A9 A10
R3 V13 V25 V26 V29 V30 V31 A20
R9 V5 V6 V7 V17 V18 A1 A2 A5 A6 A7 A9 A10
R10 V1 V10 V34 V35 V36 V37 V39 V48 A1 A2 A3 A4 A5 A6 A7 A8 A9 A10
R11 V1 V4 V38 V39 V48 A1 A2 A5 A6 A7 A9 A10 A14
R14 V20 A5 A6 A7 A12
R21 V6 V29 V30 A1 A2 A5 A6 A7 A9 A10
R22 V29 V30 A1 A2 A5 A6 A7 A9 A10
R23 V29 V30 A1 A2 A5 A6 A7 A9 A10
R26 V6 V38 V39 V41 A1 A2 A3 A9 A10 A16
TOP 7 - Vulnérabilités (sur 53 recensées) TOP 7 - Actifs impactés (sur 23 recensés)
V29 STORAGE OF DATA IN MULTIPLE JURISDICTIONS AND LACK OF TRANSPARENCY 5 (45%) A1 Company reputation 9 (82%)
V30 LACK OF INFORMATION ON JURISDICTIONS 5 (45%) A6 Personal data 9 (82%)
V6 LACK OF RESOURCE ISOLATION 3 (27%) A7 Personal data - critical 9 (82%)
V13 LACK OF STANDARD TECHNOLOGIES AND SOLUTIONS 3 (27%) A9 Service delivery - real time services 9 (82%)
V31 LACK OF COMPLETENESS AND TRANSPARENCY IN TERMS OF USE 3 (27%) A10 Service delivery 9 (82%)
V34 UNCLEAR ROLES AND RESPONSIBILITIES 2 (18%) A2 Customer trust 8 (73%)
V35 POOR ENFORCEMENT OF ROLE DEFINITIONS 2 (18%) A5 Personal sensitive data 8 (73%)
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.fr29 NOTES Cloud Controls Matrix v3.0.1 (1/2)
Pertinence sur Relation fournisseur
Domaine & Catégorie Mesure de sécurité la gouvernance
Applicabilité Champs
Identifiant de mesure Pertinence sur l’architecture selon modèle
Physique, Réseau, Calcul, Stockage, Application, Données d’application
de service
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Le questionnaire CAI
133
mesures
311
questions
Consensus Assessments
Initiative Questionnaire
Le questionnaire CAI a été créé par la CSA pour
fournir des solutions, en partenariat avec
l’industrie, pour documenter de manière
transparente les mesures de sécurité qui
existent dans les offres IaaS, PaaS et SaaS
Le CAI est en quelque sorte un questionnaire de
pré-audit que le client peut soumettre au CSP
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frNOTES Synthèse CCM, CAIQ & CAIQ Lite
Mesures Responsabité CAIQ
Synthèse de sécurité
CAIQ
Lite
Fournisseur Client
AIS Application & Interface Security Sécurité des applications et des interfaces 4 4 2 10 4
AAC Audit Assurance & Compliance Assurance et conformité des audits 3 3 2 10 5
BCR Business Continuity Management & Operational Resilience Gestion de la continuité d’activité et résilience opérationnelle 11 11 4 26 6
CCC Change Control & Configuration Management Contrôle des modifications et gestion de la configuration 5 5 2 13 2
DSI Data Security & Information Lifecycle Management Sécurité des données et gestion du cycle de vie des informations 7 7 4 13 5
DCS Datacenter Security Sécurité des centres de données 9 9 2 12 3
EKM Encryption & Key Management Chiffrement et gestion des clés 4 4 2 13 2
GRM Governance and Risk Management Gouvernance et gestion des risques 11 11 9 22 5
HRM Human Resources Ressources humaines 11 11 11 23 6
IAM Identity & Access Management Gestion des identités et des accès 13 13 8 40 9
IVS Infrastructure & Virtualization Security Sécurité de l'infrastructure et de la virtualisation 13 13 6 35 12
IPY Interoperability & Portability Interopérabilité et portabilité 5 5 1 10 1
MOS Mobile Security Sécurité mobile 20 20 9 29 1
Gestion des incidents de sécurité, découverte électronique et
SEF Security Incident Management, E-Discovery, & Cloud Forensics
expertise judiciaire dans le cloud
5 5 5 14 5
Gestion, transparence et responsabilité de la chaîne
STA Supply Chain Management, Transparency, and Accountability
d’approvisionnement
9 9 2 31 4
TVM Threat and Vulnerability Management Gestion des menaces et des vulnérabilités 3 3 2 10 3
133 133 71 311 73
Copyright © 2020 VERISAFE SAS - Tous droits réservés - https://www.verisafe.fr - elearning@verisafe.frVous pouvez aussi lire
