Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences

 
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
Headline Verdana Bold
Le Cloud : Les fondamentaux de la sécurité et la conformité
Deloitte Conseil Tunisie
Mars 2019
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
Cloud, risque ou opportunité
cybersécurité ?
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
Cloud, risque ou opportunité ?
Le cloud permet de répondre aux nouvelles problématiques de développement

                                                         1
                                                                    L’économie de service
                                                                    Transition d’une économie de produits à une
                                                                    économie de service

                                                         2
                                                                Le besoin de rapidité
                                                                Passez de la stabilité et l’efficacité à l’agilité et
                                                                l’innovation

                                                         3   Le digital
                                                             Tout est en train d’être alimenté par l’IT

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                  3
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
Quelques types de services cloud

                                                    Cloud Privé
                                                    Architecture propriétaire offrant des outils d’évolutivité et de libre-service.

                                                    Infrastructure as a Service (IaaS)
                                                    Processeurs, stockage et networking à la demande et évolutifs hébergés par un
                                                    fournisseur

                                                    Platform as a Service (PaaS)
                                                    Ensemble d'outils nécessaires au développement d'applications hébergées par un
                                                    fournisseur

                                                    Software as a Service (SaaS)
                                                    Applications hébergées par un fournisseur et utilisées à distance par les clients

                                                    Cloud Personnel
                                                    Fonctionnalités hébergées par un fournisseur allant du stockage au streaming
                                                    multimédia en passant par la collaboration, accessibles via des comptes
                                                    personnels
© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                  4
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités
cybersécurité

                                                             Concentration du risque
        Shadow IT
                                                             Les fournisseurs du cloud
        Utilisation du cloud sans approbation
                                                             représentant une cible ; “c’est là où
        de la DSI et sans cyber-contrôles
                                                             les données se trouvent”

                                                                               Risques des tiers
                                                                               Dépendance des entreprises
                                                                               par rapport aux cyber-
                                                                               contrôles des fournisseurs
                                                                               cloud

        Nouvelles surfaces d’attaque
        L'entreprise murée est remplacée par un          Ecarts de contrôles
        environnement technologique hybride et           Les contrôles de cyber-risques traditionnels
        plus complexe                                    devraient s’étendre au cloud alors que de
                                                         nombreuses entreprises ne parviennent pas à
                                                         faire face aux menaces existantes
© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                  5
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
La migration vers le Cloud présente divers cyber-risques, mais aussi des opportunités
cybersécurité

  Au même temps, le cloud représente une opportunité cybersécurité :

                           Les fournisseurs de cloud sont dans le «Métier IT», ayant le moyen pour
                           appliquer les meilleures pratiques

                           Les fournisseurs de cloud sont mieux équipés pour faire face aux nouvelles
                           attaques cybersécurité

                           Migrer vers le cloud permet aux DSI de se focaliser sur la meilleure réponse
                           aux besoins métiers et améliorer leur maturité cybersécurité

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                    6
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
Principes fondamentaux de sécurité
du cloud
Headline Verdana Bold - Le Cloud : Les fondamentaux de la sécurité et la conformité Deloitte Conseil Tunisie - RFC Cloud eXperiences
La gestion du cyber-risque est une responsabilité partagée entre l’entreprise et le
fournisseur cloud

                                                         Private Cloud   Private Cloud
                                                                                         IaaS   PaaS   SaaS
                                                         (Self-Hosted)   (Co-Located)

     Security Governance, Risk
          & Compliance (GRC)

              Sécurité des données

       Sécurité des applications

       Sécurité des plateformes

                             Sécurité des
                          infrastructures

                    Sécurité physique

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                        8
Principes fondamentaux pour une gestion du cyber-risque dans le cloud

                                                                                Cloud Vigilance                         Unsanctioned Cloud:         Cloud Cyber
                                                                                                      DevSecOps
                                                                                                                        Apps, Data and Infra      Risk Governance
1• Connaissance et sensibilisation au contexte du Cloud

2• Protection des données et confidentialité dans le Cloud
                                                                                                                                    ?
3• Gestion des risques et de la conformité des services Cloud
                                                                                     Public
4• Sécurisation des applications Cloud                                            5 Internet                            New Cloud Services:        3
                                                                                                                          Custom & SaaS
                                                                                                           4
5• Intelligence et surveillance (Vigilance) dans le Cloud
                                                                                    Cloud                                                                Network &
6• Réponse aux incidents (Résilience) dans le Cloud                               Resilience                                      SaaS                 Infrastructure
7• Sécurisation des infrastructures et des plateformes dans le
     Cloud                                                                                                              Traditional Apps and
                                                                                                                          Databases in the
                                                                                                                                Cloud              7

                BYOD and                                                              6                                          IaaS/Paa
               Remote Users                                      Identity and                                                       S
                                                         1
                                                                 Context
                                                                                                            Traditional Enterprise
                                                                                                  • Applications   • Databases      • Infrastructure

                                                             2
                                                                 Cloud Data
                                                                  Protection
                                                                                   On Premise Users        Enterprise Networks and Legacy Data Centers
                                                                                                            Traditional Perimeter
© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                                  9
Principes fondamentaux de la gestion des identités dans le cloud

                                                         Les clients &                                                                          New Cloud Services:
                                                              Les                                                                                 Custom & SaaS
                                                          partenaires
                                                                                      3     4
  1 • Tenir en considération les exigences métier dans
      la gestion des identités                                                                                                                               SaaS
  2 • Intégration avec les annuaires d'entreprise
                                                          BYOD and                                                  Cloud
                                                                                                                        Cloud
  3 • Contexte d'identité client et partenaire                                                                   Identity and
                                                                                                                      Vigilance       5   6
                                                            BYOA                        5   7
                                                                                                                   Context                          Applications et
  4 • SSO + authentification forte MFA
                                                                                                                                                  bases de données
  5 • Provisioning et auto-provisioning, contrôles                                                                                               traditionnelles dans
      d'accès basés sur les rôles (RBAC)                                                                                                                le Cloud

  6 • Gestion de compte privilégiée                                                             1     4
                                                                                                                                                             IaaS
                                                                                                             2              5     6
  7 • Gestion des accès dans les applications et les
      données des appareils mobiles
                                                                                                    Entreprise traditionnelle
                                                                         • Users   • Directories      • Applications    • Databases       • Infrastructure

                                                                           Employees                      Enterprise Networks and Legacy Data
                                                                            Directory                                   Centers
                                                                                                       Périmètre traditionnel

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                                  10
Principes fondamentaux de gestion des politiques, de l’architecture et des accès dans
le cloud

                                                                              S’assurer que l’accès à l’information est
              Définir les protections permettant la                           sécurisé tout en restant facile à gérer.
              confiance dans le cloud.

                                                                              Faciliter l'accès, l'administration et la
              Centraliser les fonctions de politique de                       résilience sécurisée et efficace du client /
              sécurité, d’opération de maintenance et                         consommateur.
              de surveillance.

              Fournir des instructions pour sécuriser                         Déléguer ou fédérer le contrôle d’accès,
              les informations protégées par la                               quand cela est approprié.
              réglementation.

         S’assurer que l'architecture répond et prend en
         charge plusieurs niveaux de protection, y compris         S’assurer que l'architecture facilite l'identification,
         les besoins de sécurité du réseau, du système             l'authentification, l'autorisation, l'administration et
         d'exploitation et des applications.                       l'auditabilité appropriées et efficaces.

         S’assurer que l'architecture est facile à adopter et à    S’assurer que l'architecture est flexible et résiliente, en
         utiliser, en prenant en charge la conception de modèles   prenant en charge des plates-formes multi-locataires et
         de sécurité.                                              multi-propriétaires.

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                   11
Conformité dans le cloud
Les Réglementations, les Certifications et les Frameworks représentent des exigences
et des lignes directrices permettant de faire face aux risques de sécurité du cloud

                   Règlementation                                      Certifications                                    Frameworks

RGDP : Réglementation applicable                         FedRAMP : Évaluation pour l'audit du               CJIS : Cadre décrivant les mesures de
aux entreprises manipulant des                           système cloud                                      sécurité destinées à protéger les
données à caractère personnel de                                                                            informations sensibles, par exemple
résidents/ressortissants de l’UE                                                                            empreintes digitales et antécédents criminels
                                                         ISO 27000-Series : Une série de
                                                         recommandations sur les meilleures pratiques
GLBA : Loi fédérale sur la protection                    en matière de gestion de la sécurité de            CSA : Meilleures pratiques pour la
des données sensibles par les                            l'information                                      sécurisation du cloud computing
institutions financières

                                                         PCI : Normes de sécurité de l'information          NIST : Lignes directrices sur les contrôles de
HIPAA : Législation visant à                             pour les organisations utilisant des cartes de     sécurité recommandés pour les systèmes
protéger les dossiers médicaux et                        crédit                                             d'information dans les agences fédérales
autres informations personnelles sur
la santé
                                                         SOC 2 et 3 : Normes axées sur les contrôles
                                                         spécifiques à la sécurité, à l'intégrité et à la
                                                         confidentialité des données

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                 13
Protection des données dans le contexte RGPD/INPDP
Définir les propriétaires des données ainsi que les règles de gestion, de conservation
et de protection des données

                                                         •   Où sont les données ?
                                                         •   Quelle est la source des données ?
                                                         •   Comment pouvons-nous assurer la
                                                             protection des données ?
                                                         •   La responsabilité est celle du propriétaire
                                                             des données ou du processeur de données ?
                                                         •   Comment mapper l'emplacement des
                                                             informations personnelles ?

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                     14
Certifications spécifiques pour les services cloud

                                             Forte

                                                                  ISO/IEC 27001:2013
                                                                           +                  SOC1 / SOC2 / SOC3
                                                                  ISO/IEC 27017:2015

                           Demande

                                                                   Common Criteria                    PCI DSS

                                            Faible

                                                         Faible                                                    Forte
                                                                                Complexité & effort

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                     15
Adopter une stratégie cloud
© 2019 Deloitte Conseil Tunisie. Document Confidentiel
Nous devons nous poser les bonnes questions afin de permettre la prise de décision
appropriée pour la sécurité du cloud

                                          Puis-je appliquer le     D’où les utilisateurs
                                      cryptage / la tokenisation    accèdent-ils à ce
                                      / la rédaction en fonction      service, cette
                                         de ces informations?       application et ces
                                                                        données?

            Dois-je savoir quels
        utilisateurs partagent des
             données? quelles
                                                                                           Ai-je une visibilité sur les
        données partagent-ils et
                                                                                             flux de données entre
                    avec
                                                                                            services clouds qui sont
                              qui?
                                                                                           intégrés au back-end par
                                                                                                    les API?

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                    17
Une stratégie cloud permet d’adresser les risques de sécurité et de conformité

•       Surveillance inadéquate                                                                             •        Absence de stratégie cloud et de feuille de route cohérentes
•       Incapacité à démontrer la conformité aux exigences                                                  •        La stratégie cloud ne correspond pas aux besoins de l'entreprise / à la maturité de la
        réglementaires                                                                                               technologie
•       Absence d’évaluation indépendante de la solution cloud                                              •        Manque de personnalisation de l'architecture de cloud
•       Paysage de conformité qui varie pour les réglementations et les                                     •        Dégradation inacceptable des performances due à une latence accrue du réseau ou du
        normes                                                                                                       système
•       Rôles et responsabilités de gouvernance peu clairs pour les
        fournisseurs de solutions cloud et leurs clients                          Governance,                                           •   Failles de sécurité introduites par le contenu du Cloud et les
                                                                                                    Delivery
                                                                                     Risk                                                   partenaires de l'écosystème
                                                                                                   Strategy &
                                                                                 Management &                                           •   Compromission de l'environnement dans le Cloud en raison de
                                                                                                  Architecture
                                                                                  Compliance                                                mauvaises pratiques de sécurité par le client
    •   Absence de surveillance des fournisseurs                                                                                        •   Compromission des interfaces de gestion en Cloud en raison
    •   Exigences de sécurité peu claires dans le contrat.                                                                                  d'attaques ciblées
    •   Absence d'accords contractuels complets avec les                                                                                •   Absence de défense contre les attaques provenant de
                                                                   Vendor
        rôles et les responsabilités des fournisseurs et des                                                    Infrastructure              l'environnement Cloud
                                                                 Management
        clients cloud                                                                                              Security             •   Incapacité à tester de manière indépendante la sécurité
    •   Rôles peu clairs lors d'incidents et les
        investigations                                                                     Cloud                                        •   Installations inadéquates pour capturer et stocker les logs
                                                                                                                                            d'application

                                                                                          Security                                      •   Contrôles de sécurité dans le cloud inadéquats ou
                                                                                                                                            environnement non certifié (par exemple, FedRAMP)

•       Absence de suivi des actifs virtuels
                                                                  Business &
                                                                                           Risks                  Identity &
•       Des rôles et des responsabilités mal définis des                                                            Access
                                                                      IT
        participants au Cloud                                                                                    Management                 •   Diligence inadéquate avant l'attribution des privilèges généraux
                                                                  Operations
•       Notification de violation de données retardée                                                                                           de gestion du cloud
•       Compétences informatiques insuffisantes pour gérer les                                                                              •   Échec de la mise en œuvre des contrôles d'accès pour les
        technologies basés dans le Cloud                                                                                                        interfaces de gestion du Cloud
•       Politiques de gestion, de conservation et                                  Business         Data                                    •   Incapacité de restreindre l'accès ou de mettre en place une
        d'élimination des enregistrements inadéquates                             Resiliency &   Management                                     séparation des tâches pour le personnel des fournisseurs du
                                                                                  Availability                                                  Cloud

           •   Incapacité à vérifier la résilience de l'infrastructure de cloud                                  •     Accès non autorisé au stockage de données
           •   Interruption des services de cloud computing en raison d'une                                      •     Incapacité de surveiller l'intégrité des données dans le stockage dans le Cloud
               défaillance d'un sous-traitant                                                                    •     Absence de propriété claire des données générées dans le Cloud
           •   Perturbation opérationnelle                                                                       •     Non-conformité avec des lois sur la confidentialité des données en raison du transfert
           •   Complexité accrue de la réplication des données ou de la sauvegarde vers                                de données entre juridictions
               d'autres cloud ou en interne                                                                      •     Échec de la suppression des données de plusieurs magasins de données dans le Cloud
                                                                                                                 •     Incapacité à conserver correctement les données en raison de la complexité de
        © 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                         plusieurs magasins de données en cloud                                           18
Les responsabilités différent selon le modèle de service : IT Traditionnel vs Cloud

                                             1. Identity and Context Management

                                             2. Data Protection & Governance
                  Security controls

                                             3. Application Security

                                             4. Security Monitoring

                                             5. Incident Management

                                             6. Infrastructure Security

                                                              Data                               Data                                          Data                               Data

                                                       People / Identities                People / Identities                           People / Identities                People / Identities
                  Security Hand-off Points

                                                           Applications                      Applications                                  Applications                       Applications

                                                 Platform (OS, DB, Middleware)     Platform (OS, DB, Middleware)                 Platform (OS, DB, Middleware)      Platform (OS, DB, Middleware)

                                                Server Hardware & virtualization   Server Hardware & virtualization              Server Hardware & virtualization   Server Hardware & virtualization

                                                             Storage                           Storage                                       Storage                            Storage

                                                           Networking                        Networking                                    Networking                         Networking

                                                    Traditional IT                             IaaS                                         PaaS                               SaaS
                                                                                                  Security
                                                                                                                      Internal         Provider
                                                                                                 execution
© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                                                                 19
Bien que la gestion des services soit externalisée, les responsabilités ne le sont pas

           Sélection des contrôles                                                                                                 Emplacement du
                                                                                                                                      contrôle
                                                                                                             Implémenter            Organisation

                                                                              Contrôles                                                 Contrôle
                                                Evaluation des              recommandés
                                                                                                  Contrôle
                                                   risques
                                                                                                                                    Vendeur Cloud
                                                                                                          Intégrer dans le              Contrôle
                                                                                                              contrat

            Zone de contrôle                             Le contrôle                Contrôle à mettre en            Contrôle à mettre en           Requis pour
                                                                                    place par le fournisseur        place par
                                                                                                                    l’organisation
                                                                                              Exemples
            Réponse à un incident                        Intégrer dans le contrat   Le fournisseur de services      Mise à jour du contrat         SaaS, PaaS, IaaS
                                                         la clause "demande de      cloud doit mettre en œuvre
                                                         données sur l’incident"    des mesures pour fournir un
                                                                                    accès aux données (à
                                                                                    analyser en cas d'incident)
            Réponse à un incident                        Intégrer dans le contrat   Le fournisseur de cloud doit    Mise à jour du contrat         SaaS, PaaS, IaaS
                                                         la clause «fournir des     mettre en œuvre des
                                                         rapports d'incidents»      mesures pour signaler tous
                                                                                    les incidents de sécurité
                                                                                    dans les 12h

© 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                                20
Les contrôles exigés dans le cloud doivent découler d’une approche de gestion des
   risques

Approche traditionnelle de gestion
                                                                             Approche suggérée de gestion des risques dans le Cloud
        des fournisseurs

▪ Approche facile «one-size-fits-all»                       ▪ Approche basée sur le risque (H-M-L), basée sur la sensibilité des données et la criticité de
                                                              l'entreprise
▪ Manque de concentration: quels sont
  les risques réels                                         ▪ Incorporer et utiliser le « Privacy Impact Assessment »(PIA) et le registre des menaces et des
                                                              vulnérabilités

                                                                                                           contrôles
                                                            H                                        1
                                                                                                                         •   Crypter toutes les données (stockées,
                                                                                                                             utilisées et en transit) dans un format /
                                                                                                                             des algorithmes ouverts / validés (par
                                                                                                                             exemple, AES-256)

                                                                                                           contrôles     •   Intégrer l'application Cloud à la plateforme
                                                            M                                        2                       d'identité et appliquer la politique de mot
                                                                                                                             de passe

                                                                                                                         •   Incorporer la clause de «compte rendu
                                                                                                                             d'incident» dans le contrat
                                                                                                           contrôles
                                                            L                                        3

                                             Assessment

   © 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                                21
La définition d'une stratégie cyber-risque cloud aide les entreprises à mieux gérer les
 risques et à aligner les capacités de sécurité dès le début du projet

                                                 Établir des stratégies pour répondre aux besoins                        Les stratégies SaaS de
   SaaS Cyber
                                                 essentiels en matière de risques SI et établir une
   Risk                                                                                                                   cyber-risques aident
                                                 feuille de route pour l'intégration
   Considerations:                                                                                                        les entreprises et les
                                                                                                                               responsables
             Risque
                                                                                                                             informatiques à
                                                      Gouvernance des            Sécurité de         Sécurité du
                                                       services cloud         l’infrastructure       Middleware
                                                                                                                         planifier et à gérer les
                                                                                                                           besoins en matière
                                                                                                                            d'intégration de la
                                                             Sécurité        Contrôle d'accès     Classification des              sécurité
Règlementations                                              applicatif      basé sur les rôles       données

             Privacy                                                                                                          Intégrer les
                                                          Flux de données     Protection des       Confidentialité            exigences en
                                                             et sécurité         données            des données
                                                                                                                            matière de cyber-
       Technologie                                                                                                             risques au
                                                            Gestion des      Surveillance de la                             cycle de vie d'un
                                                                                                  Résilience dans le
                                                          identités et des    sécurité dans le
                                                                                                         Cloud                    projet
                                                               accès               Cloud
                                                                                                                       Concevoir   Construire   Déployer

 © 2019 Deloitte Conseil Tunisie. Document Confidentiel                                                                                                    22
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms
are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about to learn more about our global network of member
firms.
Deloitte provides audit, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies
through a globally connected network of member firms in more than 150 countries and territories bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business
challenges. To learn more about how Deloitte’s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.
This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this
communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity
in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

©©2017  Deloitte
   2019 Deloitte   The Netherlands
                 Conseil Tunisie. Document Confidentiel
Vous pouvez aussi lire