Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Headline Verdana Bold Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie Mars 2019
Cloud, risque ou opportunité ? Le cloud permet de répondre aux nouvelles problématiques de développement 1 L’économie de service Transition d’une économie de produits à une économie de service 2 Le besoin de rapidité Passez de la stabilité et l’efficacité à l’agilité et l’innovation 3 Le digital Tout est en train d’être alimenté par l’IT © 2019 Deloitte Conseil Tunisie. Document Confidentiel 3
Quelques types de services cloud Cloud Privé Architecture propriétaire offrant des outils d’évolutivité et de libre-service. Infrastructure as a Service (IaaS) Processeurs, stockage et networking à la demande et évolutifs hébergés par un fournisseur Platform as a Service (PaaS) Ensemble d'outils nécessaires au développement d'applications hébergées par un fournisseur Software as a Service (SaaS) Applications hébergées par un fournisseur et utilisées à distance par les clients Cloud Personnel Fonctionnalités hébergées par un fournisseur allant du stockage au streaming multimédia en passant par la collaboration, accessibles via des comptes personnels © 2019 Deloitte Conseil Tunisie. Document Confidentiel 4
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités cybersécurité Concentration du risque Shadow IT Les fournisseurs du cloud Utilisation du cloud sans approbation représentant une cible ; “c’est là où de la DSI et sans cyber-contrôles les données se trouvent” Risques des tiers Dépendance des entreprises par rapport aux cyber- contrôles des fournisseurs cloud Nouvelles surfaces d’attaque L'entreprise murée est remplacée par un Ecarts de contrôles environnement technologique hybride et Les contrôles de cyber-risques traditionnels plus complexe devraient s’étendre au cloud alors que de nombreuses entreprises ne parviennent pas à faire face aux menaces existantes © 2019 Deloitte Conseil Tunisie. Document Confidentiel 5
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités cybersécurité Au même temps, le cloud représente une opportunité cybersécurité : Les fournisseurs de cloud sont dans le «Métier IT», ayant le moyen pour appliquer les meilleures pratiques Les fournisseurs de cloud sont mieux équipés pour faire face aux nouvelles attaques cybersécurité Migrer vers le cloud permet aux DSI de se focaliser sur la meilleure réponse aux besoins métiers et améliorer leur maturité cybersécurité © 2019 Deloitte Conseil Tunisie. Document Confidentiel 6
La gestion du cyber-risque est une responsabilité partagée entre l’entreprise et le fournisseur cloud Private Cloud Private Cloud IaaS PaaS SaaS (Self-Hosted) (Co-Located) Security Governance, Risk & Compliance (GRC) Sécurité des données Sécurité des applications Sécurité des plateformes Sécurité des infrastructures Sécurité physique © 2019 Deloitte Conseil Tunisie. Document Confidentiel 8
Principes fondamentaux pour une gestion du cyber-risque dans le cloud Cloud Vigilance Unsanctioned Cloud: Cloud Cyber DevSecOps Apps, Data and Infra Risk Governance 1• Connaissance et sensibilisation au contexte du Cloud 2• Protection des données et confidentialité dans le Cloud ? 3• Gestion des risques et de la conformité des services Cloud Public 4• Sécurisation des applications Cloud 5 Internet New Cloud Services: 3 Custom & SaaS 4 5• Intelligence et surveillance (Vigilance) dans le Cloud Cloud Network & 6• Réponse aux incidents (Résilience) dans le Cloud Resilience SaaS Infrastructure 7• Sécurisation des infrastructures et des plateformes dans le Cloud Traditional Apps and Databases in the Cloud 7 BYOD and 6 IaaS/Paa Remote Users Identity and S 1 Context Traditional Enterprise • Applications • Databases • Infrastructure 2 Cloud Data Protection On Premise Users Enterprise Networks and Legacy Data Centers Traditional Perimeter © 2019 Deloitte Conseil Tunisie. Document Confidentiel 9
Principes fondamentaux de la gestion des identités dans le cloud Les clients & New Cloud Services: Les Custom & SaaS partenaires 3 4 1 • Tenir en considération les exigences métier dans la gestion des identités SaaS 2 • Intégration avec les annuaires d'entreprise BYOD and Cloud Cloud 3 • Contexte d'identité client et partenaire Identity and Vigilance 5 6 BYOA 5 7 Context Applications et 4 • SSO + authentification forte MFA bases de données 5 • Provisioning et auto-provisioning, contrôles traditionnelles dans d'accès basés sur les rôles (RBAC) le Cloud 6 • Gestion de compte privilégiée 1 4 IaaS 2 5 6 7 • Gestion des accès dans les applications et les données des appareils mobiles Entreprise traditionnelle • Users • Directories • Applications • Databases • Infrastructure Employees Enterprise Networks and Legacy Data Directory Centers Périmètre traditionnel © 2019 Deloitte Conseil Tunisie. Document Confidentiel 10
Principes fondamentaux de gestion des politiques, de l’architecture et des accès dans le cloud S’assurer que l’accès à l’information est Définir les protections permettant la sécurisé tout en restant facile à gérer. confiance dans le cloud. Faciliter l'accès, l'administration et la Centraliser les fonctions de politique de résilience sécurisée et efficace du client / sécurité, d’opération de maintenance et consommateur. de surveillance. Fournir des instructions pour sécuriser Déléguer ou fédérer le contrôle d’accès, les informations protégées par la quand cela est approprié. réglementation. S’assurer que l'architecture répond et prend en charge plusieurs niveaux de protection, y compris S’assurer que l'architecture facilite l'identification, les besoins de sécurité du réseau, du système l'authentification, l'autorisation, l'administration et d'exploitation et des applications. l'auditabilité appropriées et efficaces. S’assurer que l'architecture est facile à adopter et à S’assurer que l'architecture est flexible et résiliente, en utiliser, en prenant en charge la conception de modèles prenant en charge des plates-formes multi-locataires et de sécurité. multi-propriétaires. © 2019 Deloitte Conseil Tunisie. Document Confidentiel 11
Conformité dans le cloud
Les Réglementations, les Certifications et les Frameworks représentent des exigences et des lignes directrices permettant de faire face aux risques de sécurité du cloud Règlementation Certifications Frameworks RGDP : Réglementation applicable FedRAMP : Évaluation pour l'audit du CJIS : Cadre décrivant les mesures de aux entreprises manipulant des système cloud sécurité destinées à protéger les données à caractère personnel de informations sensibles, par exemple résidents/ressortissants de l’UE empreintes digitales et antécédents criminels ISO 27000-Series : Une série de recommandations sur les meilleures pratiques GLBA : Loi fédérale sur la protection en matière de gestion de la sécurité de CSA : Meilleures pratiques pour la des données sensibles par les l'information sécurisation du cloud computing institutions financières PCI : Normes de sécurité de l'information NIST : Lignes directrices sur les contrôles de HIPAA : Législation visant à pour les organisations utilisant des cartes de sécurité recommandés pour les systèmes protéger les dossiers médicaux et crédit d'information dans les agences fédérales autres informations personnelles sur la santé SOC 2 et 3 : Normes axées sur les contrôles spécifiques à la sécurité, à l'intégrité et à la confidentialité des données © 2019 Deloitte Conseil Tunisie. Document Confidentiel 13
Protection des données dans le contexte RGPD/INPDP Définir les propriétaires des données ainsi que les règles de gestion, de conservation et de protection des données • Où sont les données ? • Quelle est la source des données ? • Comment pouvons-nous assurer la protection des données ? • La responsabilité est celle du propriétaire des données ou du processeur de données ? • Comment mapper l'emplacement des informations personnelles ? © 2019 Deloitte Conseil Tunisie. Document Confidentiel 14
Certifications spécifiques pour les services cloud Forte ISO/IEC 27001:2013 + SOC1 / SOC2 / SOC3 ISO/IEC 27017:2015 Demande Common Criteria PCI DSS Faible Faible Forte Complexité & effort © 2019 Deloitte Conseil Tunisie. Document Confidentiel 15
Adopter une stratégie cloud © 2019 Deloitte Conseil Tunisie. Document Confidentiel
Nous devons nous poser les bonnes questions afin de permettre la prise de décision appropriée pour la sécurité du cloud Puis-je appliquer le D’où les utilisateurs cryptage / la tokenisation accèdent-ils à ce / la rédaction en fonction service, cette de ces informations? application et ces données? Dois-je savoir quels utilisateurs partagent des données? quelles Ai-je une visibilité sur les données partagent-ils et flux de données entre avec services clouds qui sont qui? intégrés au back-end par les API? © 2019 Deloitte Conseil Tunisie. Document Confidentiel 17
Une stratégie cloud permet d’adresser les risques de sécurité et de conformité • Surveillance inadéquate • Absence de stratégie cloud et de feuille de route cohérentes • Incapacité à démontrer la conformité aux exigences • La stratégie cloud ne correspond pas aux besoins de l'entreprise / à la maturité de la réglementaires technologie • Absence d’évaluation indépendante de la solution cloud • Manque de personnalisation de l'architecture de cloud • Paysage de conformité qui varie pour les réglementations et les • Dégradation inacceptable des performances due à une latence accrue du réseau ou du normes système • Rôles et responsabilités de gouvernance peu clairs pour les fournisseurs de solutions cloud et leurs clients Governance, • Failles de sécurité introduites par le contenu du Cloud et les Delivery Risk partenaires de l'écosystème Strategy & Management & • Compromission de l'environnement dans le Cloud en raison de Architecture Compliance mauvaises pratiques de sécurité par le client • Absence de surveillance des fournisseurs • Compromission des interfaces de gestion en Cloud en raison • Exigences de sécurité peu claires dans le contrat. d'attaques ciblées • Absence d'accords contractuels complets avec les • Absence de défense contre les attaques provenant de Vendor rôles et les responsabilités des fournisseurs et des Infrastructure l'environnement Cloud Management clients cloud Security • Incapacité à tester de manière indépendante la sécurité • Rôles peu clairs lors d'incidents et les investigations Cloud • Installations inadéquates pour capturer et stocker les logs d'application Security • Contrôles de sécurité dans le cloud inadéquats ou environnement non certifié (par exemple, FedRAMP) • Absence de suivi des actifs virtuels Business & Risks Identity & • Des rôles et des responsabilités mal définis des Access IT participants au Cloud Management • Diligence inadéquate avant l'attribution des privilèges généraux Operations • Notification de violation de données retardée de gestion du cloud • Compétences informatiques insuffisantes pour gérer les • Échec de la mise en œuvre des contrôles d'accès pour les technologies basés dans le Cloud interfaces de gestion du Cloud • Politiques de gestion, de conservation et Business Data • Incapacité de restreindre l'accès ou de mettre en place une d'élimination des enregistrements inadéquates Resiliency & Management séparation des tâches pour le personnel des fournisseurs du Availability Cloud • Incapacité à vérifier la résilience de l'infrastructure de cloud • Accès non autorisé au stockage de données • Interruption des services de cloud computing en raison d'une • Incapacité de surveiller l'intégrité des données dans le stockage dans le Cloud défaillance d'un sous-traitant • Absence de propriété claire des données générées dans le Cloud • Perturbation opérationnelle • Non-conformité avec des lois sur la confidentialité des données en raison du transfert • Complexité accrue de la réplication des données ou de la sauvegarde vers de données entre juridictions d'autres cloud ou en interne • Échec de la suppression des données de plusieurs magasins de données dans le Cloud • Incapacité à conserver correctement les données en raison de la complexité de © 2019 Deloitte Conseil Tunisie. Document Confidentiel plusieurs magasins de données en cloud 18
Les responsabilités différent selon le modèle de service : IT Traditionnel vs Cloud 1. Identity and Context Management 2. Data Protection & Governance Security controls 3. Application Security 4. Security Monitoring 5. Incident Management 6. Infrastructure Security Data Data Data Data People / Identities People / Identities People / Identities People / Identities Security Hand-off Points Applications Applications Applications Applications Platform (OS, DB, Middleware) Platform (OS, DB, Middleware) Platform (OS, DB, Middleware) Platform (OS, DB, Middleware) Server Hardware & virtualization Server Hardware & virtualization Server Hardware & virtualization Server Hardware & virtualization Storage Storage Storage Storage Networking Networking Networking Networking Traditional IT IaaS PaaS SaaS Security Internal Provider execution © 2019 Deloitte Conseil Tunisie. Document Confidentiel 19
Bien que la gestion des services soit externalisée, les responsabilités ne le sont pas Sélection des contrôles Emplacement du contrôle Implémenter Organisation Contrôles Contrôle Evaluation des recommandés Contrôle risques Vendeur Cloud Intégrer dans le Contrôle contrat Zone de contrôle Le contrôle Contrôle à mettre en Contrôle à mettre en Requis pour place par le fournisseur place par l’organisation Exemples Réponse à un incident Intégrer dans le contrat Le fournisseur de services Mise à jour du contrat SaaS, PaaS, IaaS la clause "demande de cloud doit mettre en œuvre données sur l’incident" des mesures pour fournir un accès aux données (à analyser en cas d'incident) Réponse à un incident Intégrer dans le contrat Le fournisseur de cloud doit Mise à jour du contrat SaaS, PaaS, IaaS la clause «fournir des mettre en œuvre des rapports d'incidents» mesures pour signaler tous les incidents de sécurité dans les 12h © 2019 Deloitte Conseil Tunisie. Document Confidentiel 20
Les contrôles exigés dans le cloud doivent découler d’une approche de gestion des risques Approche traditionnelle de gestion Approche suggérée de gestion des risques dans le Cloud des fournisseurs ▪ Approche facile «one-size-fits-all» ▪ Approche basée sur le risque (H-M-L), basée sur la sensibilité des données et la criticité de l'entreprise ▪ Manque de concentration: quels sont les risques réels ▪ Incorporer et utiliser le « Privacy Impact Assessment »(PIA) et le registre des menaces et des vulnérabilités contrôles H 1 • Crypter toutes les données (stockées, utilisées et en transit) dans un format / des algorithmes ouverts / validés (par exemple, AES-256) contrôles • Intégrer l'application Cloud à la plateforme M 2 d'identité et appliquer la politique de mot de passe • Incorporer la clause de «compte rendu d'incident» dans le contrat contrôles L 3 Assessment © 2019 Deloitte Conseil Tunisie. Document Confidentiel 21
La définition d'une stratégie cyber-risque cloud aide les entreprises à mieux gérer les risques et à aligner les capacités de sécurité dès le début du projet Établir des stratégies pour répondre aux besoins Les stratégies SaaS de SaaS Cyber essentiels en matière de risques SI et établir une Risk cyber-risques aident feuille de route pour l'intégration Considerations: les entreprises et les responsables Risque informatiques à Gouvernance des Sécurité de Sécurité du services cloud l’infrastructure Middleware planifier et à gérer les besoins en matière d'intégration de la Sécurité Contrôle d'accès Classification des sécurité Règlementations applicatif basé sur les rôles données Privacy Intégrer les Flux de données Protection des Confidentialité exigences en et sécurité données des données matière de cyber- Technologie risques au Gestion des Surveillance de la cycle de vie d'un Résilience dans le identités et des sécurité dans le Cloud projet accès Cloud Concevoir Construire Déployer © 2019 Deloitte Conseil Tunisie. Document Confidentiel 22
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about to learn more about our global network of member firms. Deloitte provides audit, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries and territories bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business challenges. To learn more about how Deloitte’s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. ©©2017 Deloitte 2019 Deloitte The Netherlands Conseil Tunisie. Document Confidentiel
Vous pouvez aussi lire