Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Headline Verdana Bold Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie Mars 2019
Cloud, risque ou opportunité cybersécurité ?
Cloud, risque ou opportunité ?
Le cloud permet de répondre aux nouvelles problématiques de développement
1
L’économie de service
Transition d’une économie de produits à une
économie de service
2
Le besoin de rapidité
Passez de la stabilité et l’efficacité à l’agilité et
l’innovation
3 Le digital
Tout est en train d’être alimenté par l’IT
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 3
Quelques types de services cloud
Cloud Privé
Architecture propriétaire offrant des outils d’évolutivité et de libre-service.
Infrastructure as a Service (IaaS)
Processeurs, stockage et networking à la demande et évolutifs hébergés par un
fournisseur
Platform as a Service (PaaS)
Ensemble d'outils nécessaires au développement d'applications hébergées par un
fournisseur
Software as a Service (SaaS)
Applications hébergées par un fournisseur et utilisées à distance par les clients
Cloud Personnel
Fonctionnalités hébergées par un fournisseur allant du stockage au streaming
multimédia en passant par la collaboration, accessibles via des comptes
personnels
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 4
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités
cybersécurité
Concentration du risque
Shadow IT
Les fournisseurs du cloud
Utilisation du cloud sans approbation
représentant une cible ; “c’est là où
de la DSI et sans cyber-contrôles
les données se trouvent”
Risques des tiers
Dépendance des entreprises
par rapport aux cyber-
contrôles des fournisseurs
cloud
Nouvelles surfaces d’attaque
L'entreprise murée est remplacée par un Ecarts de contrôles
environnement technologique hybride et Les contrôles de cyber-risques traditionnels
plus complexe devraient s’étendre au cloud alors que de
nombreuses entreprises ne parviennent pas à
faire face aux menaces existantes
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 5
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités
cybersécurité
Au même temps, le cloud représente une opportunité cybersécurité :
Les fournisseurs de cloud sont dans le «Métier IT», ayant le moyen pour
appliquer les meilleures pratiques
Les fournisseurs de cloud sont mieux équipés pour faire face aux nouvelles
attaques cybersécurité
Migrer vers le cloud permet aux DSI de se focaliser sur la meilleure réponse
aux besoins métiers et améliorer leur maturité cybersécurité
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 6
Principes fondamentaux de sécurité du cloud
La gestion du cyber-risque est une responsabilité partagée entre l’entreprise et le
fournisseur cloud
Private Cloud Private Cloud
IaaS PaaS SaaS
(Self-Hosted) (Co-Located)
Security Governance, Risk
& Compliance (GRC)
Sécurité des données
Sécurité des applications
Sécurité des plateformes
Sécurité des
infrastructures
Sécurité physique
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 8Principes fondamentaux pour une gestion du cyber-risque dans le cloud
Cloud Vigilance Unsanctioned Cloud: Cloud Cyber
DevSecOps
Apps, Data and Infra Risk Governance
1• Connaissance et sensibilisation au contexte du Cloud
2• Protection des données et confidentialité dans le Cloud
?
3• Gestion des risques et de la conformité des services Cloud
Public
4• Sécurisation des applications Cloud 5 Internet New Cloud Services: 3
Custom & SaaS
4
5• Intelligence et surveillance (Vigilance) dans le Cloud
Cloud Network &
6• Réponse aux incidents (Résilience) dans le Cloud Resilience SaaS Infrastructure
7• Sécurisation des infrastructures et des plateformes dans le
Cloud Traditional Apps and
Databases in the
Cloud 7
BYOD and 6 IaaS/Paa
Remote Users Identity and S
1
Context
Traditional Enterprise
• Applications • Databases • Infrastructure
2
Cloud Data
Protection
On Premise Users Enterprise Networks and Legacy Data Centers
Traditional Perimeter
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 9Principes fondamentaux de la gestion des identités dans le cloud
Les clients & New Cloud Services:
Les Custom & SaaS
partenaires
3 4
1 • Tenir en considération les exigences métier dans
la gestion des identités SaaS
2 • Intégration avec les annuaires d'entreprise
BYOD and Cloud
Cloud
3 • Contexte d'identité client et partenaire Identity and
Vigilance 5 6
BYOA 5 7
Context Applications et
4 • SSO + authentification forte MFA
bases de données
5 • Provisioning et auto-provisioning, contrôles traditionnelles dans
d'accès basés sur les rôles (RBAC) le Cloud
6 • Gestion de compte privilégiée 1 4
IaaS
2 5 6
7 • Gestion des accès dans les applications et les
données des appareils mobiles
Entreprise traditionnelle
• Users • Directories • Applications • Databases • Infrastructure
Employees Enterprise Networks and Legacy Data
Directory Centers
Périmètre traditionnel
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 10Principes fondamentaux de gestion des politiques, de l’architecture et des accès dans
le cloud
S’assurer que l’accès à l’information est
Définir les protections permettant la sécurisé tout en restant facile à gérer.
confiance dans le cloud.
Faciliter l'accès, l'administration et la
Centraliser les fonctions de politique de résilience sécurisée et efficace du client /
sécurité, d’opération de maintenance et consommateur.
de surveillance.
Fournir des instructions pour sécuriser Déléguer ou fédérer le contrôle d’accès,
les informations protégées par la quand cela est approprié.
réglementation.
S’assurer que l'architecture répond et prend en
charge plusieurs niveaux de protection, y compris S’assurer que l'architecture facilite l'identification,
les besoins de sécurité du réseau, du système l'authentification, l'autorisation, l'administration et
d'exploitation et des applications. l'auditabilité appropriées et efficaces.
S’assurer que l'architecture est facile à adopter et à S’assurer que l'architecture est flexible et résiliente, en
utiliser, en prenant en charge la conception de modèles prenant en charge des plates-formes multi-locataires et
de sécurité. multi-propriétaires.
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 11Conformité dans le cloud
Les Réglementations, les Certifications et les Frameworks représentent des exigences
et des lignes directrices permettant de faire face aux risques de sécurité du cloud
Règlementation Certifications Frameworks
RGDP : Réglementation applicable FedRAMP : Évaluation pour l'audit du CJIS : Cadre décrivant les mesures de
aux entreprises manipulant des système cloud sécurité destinées à protéger les
données à caractère personnel de informations sensibles, par exemple
résidents/ressortissants de l’UE empreintes digitales et antécédents criminels
ISO 27000-Series : Une série de
recommandations sur les meilleures pratiques
GLBA : Loi fédérale sur la protection en matière de gestion de la sécurité de CSA : Meilleures pratiques pour la
des données sensibles par les l'information sécurisation du cloud computing
institutions financières
PCI : Normes de sécurité de l'information NIST : Lignes directrices sur les contrôles de
HIPAA : Législation visant à pour les organisations utilisant des cartes de sécurité recommandés pour les systèmes
protéger les dossiers médicaux et crédit d'information dans les agences fédérales
autres informations personnelles sur
la santé
SOC 2 et 3 : Normes axées sur les contrôles
spécifiques à la sécurité, à l'intégrité et à la
confidentialité des données
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 13Protection des données dans le contexte RGPD/INPDP
Définir les propriétaires des données ainsi que les règles de gestion, de conservation
et de protection des données
• Où sont les données ?
• Quelle est la source des données ?
• Comment pouvons-nous assurer la
protection des données ?
• La responsabilité est celle du propriétaire
des données ou du processeur de données ?
• Comment mapper l'emplacement des
informations personnelles ?
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 14Certifications spécifiques pour les services cloud
Forte
ISO/IEC 27001:2013
+ SOC1 / SOC2 / SOC3
ISO/IEC 27017:2015
Demande
Common Criteria PCI DSS
Faible
Faible Forte
Complexité & effort
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 15Adopter une stratégie cloud © 2019 Deloitte Conseil Tunisie. Document Confidentiel
Nous devons nous poser les bonnes questions afin de permettre la prise de décision
appropriée pour la sécurité du cloud
Puis-je appliquer le D’où les utilisateurs
cryptage / la tokenisation accèdent-ils à ce
/ la rédaction en fonction service, cette
de ces informations? application et ces
données?
Dois-je savoir quels
utilisateurs partagent des
données? quelles
Ai-je une visibilité sur les
données partagent-ils et
flux de données entre
avec
services clouds qui sont
qui?
intégrés au back-end par
les API?
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 17Une stratégie cloud permet d’adresser les risques de sécurité et de conformité
• Surveillance inadéquate • Absence de stratégie cloud et de feuille de route cohérentes
• Incapacité à démontrer la conformité aux exigences • La stratégie cloud ne correspond pas aux besoins de l'entreprise / à la maturité de la
réglementaires technologie
• Absence d’évaluation indépendante de la solution cloud • Manque de personnalisation de l'architecture de cloud
• Paysage de conformité qui varie pour les réglementations et les • Dégradation inacceptable des performances due à une latence accrue du réseau ou du
normes système
• Rôles et responsabilités de gouvernance peu clairs pour les
fournisseurs de solutions cloud et leurs clients Governance, • Failles de sécurité introduites par le contenu du Cloud et les
Delivery
Risk partenaires de l'écosystème
Strategy &
Management & • Compromission de l'environnement dans le Cloud en raison de
Architecture
Compliance mauvaises pratiques de sécurité par le client
• Absence de surveillance des fournisseurs • Compromission des interfaces de gestion en Cloud en raison
• Exigences de sécurité peu claires dans le contrat. d'attaques ciblées
• Absence d'accords contractuels complets avec les • Absence de défense contre les attaques provenant de
Vendor
rôles et les responsabilités des fournisseurs et des Infrastructure l'environnement Cloud
Management
clients cloud Security • Incapacité à tester de manière indépendante la sécurité
• Rôles peu clairs lors d'incidents et les
investigations Cloud • Installations inadéquates pour capturer et stocker les logs
d'application
Security • Contrôles de sécurité dans le cloud inadéquats ou
environnement non certifié (par exemple, FedRAMP)
• Absence de suivi des actifs virtuels
Business &
Risks Identity &
• Des rôles et des responsabilités mal définis des Access
IT
participants au Cloud Management • Diligence inadéquate avant l'attribution des privilèges généraux
Operations
• Notification de violation de données retardée de gestion du cloud
• Compétences informatiques insuffisantes pour gérer les • Échec de la mise en œuvre des contrôles d'accès pour les
technologies basés dans le Cloud interfaces de gestion du Cloud
• Politiques de gestion, de conservation et Business Data • Incapacité de restreindre l'accès ou de mettre en place une
d'élimination des enregistrements inadéquates Resiliency & Management séparation des tâches pour le personnel des fournisseurs du
Availability Cloud
• Incapacité à vérifier la résilience de l'infrastructure de cloud • Accès non autorisé au stockage de données
• Interruption des services de cloud computing en raison d'une • Incapacité de surveiller l'intégrité des données dans le stockage dans le Cloud
défaillance d'un sous-traitant • Absence de propriété claire des données générées dans le Cloud
• Perturbation opérationnelle • Non-conformité avec des lois sur la confidentialité des données en raison du transfert
• Complexité accrue de la réplication des données ou de la sauvegarde vers de données entre juridictions
d'autres cloud ou en interne • Échec de la suppression des données de plusieurs magasins de données dans le Cloud
• Incapacité à conserver correctement les données en raison de la complexité de
© 2019 Deloitte Conseil Tunisie. Document Confidentiel plusieurs magasins de données en cloud 18Les responsabilités différent selon le modèle de service : IT Traditionnel vs Cloud
1. Identity and Context Management
2. Data Protection & Governance
Security controls
3. Application Security
4. Security Monitoring
5. Incident Management
6. Infrastructure Security
Data Data Data Data
People / Identities People / Identities People / Identities People / Identities
Security Hand-off Points
Applications Applications Applications Applications
Platform (OS, DB, Middleware) Platform (OS, DB, Middleware) Platform (OS, DB, Middleware) Platform (OS, DB, Middleware)
Server Hardware & virtualization Server Hardware & virtualization Server Hardware & virtualization Server Hardware & virtualization
Storage Storage Storage Storage
Networking Networking Networking Networking
Traditional IT IaaS PaaS SaaS
Security
Internal Provider
execution
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 19Bien que la gestion des services soit externalisée, les responsabilités ne le sont pas
Sélection des contrôles Emplacement du
contrôle
Implémenter Organisation
Contrôles Contrôle
Evaluation des recommandés
Contrôle
risques
Vendeur Cloud
Intégrer dans le Contrôle
contrat
Zone de contrôle Le contrôle Contrôle à mettre en Contrôle à mettre en Requis pour
place par le fournisseur place par
l’organisation
Exemples
Réponse à un incident Intégrer dans le contrat Le fournisseur de services Mise à jour du contrat SaaS, PaaS, IaaS
la clause "demande de cloud doit mettre en œuvre
données sur l’incident" des mesures pour fournir un
accès aux données (à
analyser en cas d'incident)
Réponse à un incident Intégrer dans le contrat Le fournisseur de cloud doit Mise à jour du contrat SaaS, PaaS, IaaS
la clause «fournir des mettre en œuvre des
rapports d'incidents» mesures pour signaler tous
les incidents de sécurité
dans les 12h
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 20Les contrôles exigés dans le cloud doivent découler d’une approche de gestion des
risques
Approche traditionnelle de gestion
Approche suggérée de gestion des risques dans le Cloud
des fournisseurs
▪ Approche facile «one-size-fits-all» ▪ Approche basée sur le risque (H-M-L), basée sur la sensibilité des données et la criticité de
l'entreprise
▪ Manque de concentration: quels sont
les risques réels ▪ Incorporer et utiliser le « Privacy Impact Assessment »(PIA) et le registre des menaces et des
vulnérabilités
contrôles
H 1
• Crypter toutes les données (stockées,
utilisées et en transit) dans un format /
des algorithmes ouverts / validés (par
exemple, AES-256)
contrôles • Intégrer l'application Cloud à la plateforme
M 2 d'identité et appliquer la politique de mot
de passe
• Incorporer la clause de «compte rendu
d'incident» dans le contrat
contrôles
L 3
Assessment
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 21La définition d'une stratégie cyber-risque cloud aide les entreprises à mieux gérer les
risques et à aligner les capacités de sécurité dès le début du projet
Établir des stratégies pour répondre aux besoins Les stratégies SaaS de
SaaS Cyber
essentiels en matière de risques SI et établir une
Risk cyber-risques aident
feuille de route pour l'intégration
Considerations: les entreprises et les
responsables
Risque
informatiques à
Gouvernance des Sécurité de Sécurité du
services cloud l’infrastructure Middleware
planifier et à gérer les
besoins en matière
d'intégration de la
Sécurité Contrôle d'accès Classification des sécurité
Règlementations applicatif basé sur les rôles données
Privacy Intégrer les
Flux de données Protection des Confidentialité exigences en
et sécurité données des données
matière de cyber-
Technologie risques au
Gestion des Surveillance de la cycle de vie d'un
Résilience dans le
identités et des sécurité dans le
Cloud projet
accès Cloud
Concevoir Construire Déployer
© 2019 Deloitte Conseil Tunisie. Document Confidentiel 22Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms
are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about to learn more about our global network of member
firms.
Deloitte provides audit, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies
through a globally connected network of member firms in more than 150 countries and territories bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business
challenges. To learn more about how Deloitte’s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.
This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this
communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity
in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.
©©2017 Deloitte
2019 Deloitte The Netherlands
Conseil Tunisie. Document ConfidentielVous pouvez aussi lire
