La migration vers le cloud suisse - Conférence I 15.10.2019 - Codalis
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Conférence I 15.10.2019 La migration vers le cloud suisse
une histoire +15 5
d’expertise années
d’expertise
ans d’expérience
sur le Cloud
40 +80
ingénieurs certifications
& techniciens techniques
+250 1
clients PME lab
& corporates d’innovation
notre Répondre au besoin de performance de
nos clients PME et grands comptes grâce
mission à des solutions technologiques et
innovantes, tout en plaçant le respect
de l’Homme et de l’Environnement au
cœur de nos actions
Passionnément techno.
Résolument humain.
nos pôles
complémentaires
Conseil & stratégie IT Infrastructure IT & cloud
Workplace mobile & digital Innovation & formation
CODALIS SA | 4
Benjamin Müller Jérôme Toulet Clément Bétacorne
Datacenters Microsoft Stratégie de migration Gouvernance et sécurité
en Suisse & Azure vers le cloud
Samuel Janin & Mirco di Gregorio Federico Rossi & Zahra Gaudin
Conformité Use case
01 Benjamin Müller Territory Channel Manager #Azure Microsoft
Microsoft Cloud in Switzerland
Swiss Set-up • CH North & CH West are paired within Switzerland, customer data at-rest does not leave Switzerland • Region pairing enables geo-replication for data backup, in-country disaster recovery as a plus • Based on the same trust principles as our global offerings
Rollout Sequence • Azure IaaS and some PaaS (Azure SQL DB, Cosmos DB) launched in August 2019 • Further Azure services will be deployed in Switzerland step-by-step • Office 365 follows roughly 3-6 months after the launch of the Swiss region • Dynamics 365 and Power Platform follow in 2020
Azure Services Roadmap
Extract of services planned to launch in the weeks and months after go-live:
• Azure Firewall
• Log Analytics and Application Insights
• Web Apps / App Services / ASE
• Azure Kubernetes Services
• SQL Data Warehouse
• Media Services https://azure.microsoft.com/en-
us/global-infrastructure/services/
• Azure DB for PostgreSQL / MySQL
• Automation
• Power BISAP-on-Azure • M-Series are already deployed in CH DC and released for go-live ‐ SAP HANA certified ‐ Powerful specialized hardware ‐ Optimized for SAP Workloads • In addition, SAP is also in the process to enable their own SAP managed services offering “HANA Enterprise Cloud” based on the Microsoft Swiss DCs
Planned Office 365 Services
• Office 365 follows roughly 3-6 months after the initial launch of the Swiss region
• Core customer data at-rest stays within Switzerland for the following services:
• Exchange Online mailbox content (e-mail body, calendar entries, and the content of
e-mail attachments)
• SharePoint Online (site content and files stored within that site)
• OneDrive for Business (uploaded files)
• Information on tenants move: http://aka.ms/moveCompliance and Data Protection • Globally applicable certifications such as ISO 27001 to be inherited in Switzerland • Microsoft commits in its contracts to abide by the requirements of the Swiss Data Protection law • Microsoft’s commitment for the storage location of customer data at rest can be found in the Microsoft Online Services Terms (OST) – CH to be listed as own geography in a future OST release • Service Trust Portal including compliance documentation, audit reports etc
Trust Center
Public Cloud in Swiss Financial Sector Article from March 2019 Link to Publication
Microsoft Cloud in Switzerland
02 Jérôme Toulet Directeur Technique Codalis
Infrastructure dédiée Infrastructure mutualisée
Hébergé dans votre centre de données Hébergé en dehors de votre centre de données
Coût unique (CAPEX) Coût mensuel (OPEX)
IT traditionnel Cloud privé Cloud public
Cloud hybride
CODALIS SA | 18PUBLIC PRIVE HYBRIDE Extensibilité +++ ++ +++ Offre de services +++ ++ +++ Vitesse d’intégration +++ ++ ++ Performances ++ +++ +++ Opérations +++ ++ ++ Sécurité +++ ++ ++ Conformité ++ +++ +++ Offre up to date +++ ++ +++ Localisation des données + +++ +++ Coûts +++ ++ ++
posez-vous Demandeurs
les bonnes Besoins et raisons d’aller dans
questions le cloud
Audit des compétences
internes et externes
Contraintes légales
Besoins en sécurité
CODALIS SA | 20impliquer les
acteurs de la
migration
Décisionnaires
IT internes
Prestataires IT
Utilisateurs clés
CODALIS SA | 21cartographier
le système
d’information
Applications Outils de
métiers gestion IT
Classification Liens
des données réseaux
CODALIS SA | 22stratégie de migration
applicative
+
Re-architecturer Remplacer
Rearchitect Replace
Efforts
Déplacer
Rehost
Mettre à jour Re-développer
Refactor Rebuild
- Application cloud-native +
IaaS PaaS SaaS
CODALIS SA | 23stratégie de migration
de données
On-premise Cloud
Migration à vide
Streaming
Réplication complète
CODALIS SA | 24tests | proof-of-
concept
Tester et utiliser les ressources des cloud
providers !
Évaluer les performances
Ajuster les configurations
Se prémunir d’éventuels problèmes
Valider la sécurité
Vérifier les coûts
CODALIS SA | 25étapes de
migration
Si la phase de test est concluante,
la migration peut démarrer. Suivre le plan de migration
Préférer une migration pas-à-pas
Vérifier que l’intégralité des
données est bien présente
Assurer le retour arrière en cas de
dysfonctionnement majeur
Attention à la bande passante sur
les liens réseaux !
CODALIS SA | 26next steps |
opérer,
contrôler &
Utiliser les outils intégrés du cloud
optimiser pour les opérations
Adopter les outils d’automatisation
pour gagner du temps sur les
opérations
Faire un contrôle des coûts
Ajuster les ressources
CODALIS SA | 2703 Clément Bétacorne Consultant Gouvernance et Sécurité, RSSI Codalis
La confiance
n’exclut pas le
contrôle.
Vladimir Ilitch Lénine
CODALIS SA | 29périmètre de la gouvernance Gestion des coûts Règles de sécurité Socle des identités Shadow IT Protection des données Déploiement des ressources Conformité des ressources Contrats
APPROCHE TRADITIONNELLE CLOUD-ENABLED SECURITY
? ? ? ? ? ? ? ? ? ? ? ?
? ?
? ?
? ?
? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
Shift commodity responsibilities to provider and re-allocate
Satisfied responsibility ? Unmet responsibility your resources
Partially met responsibility Leverage cloud-based security capabilities for more effectiveness
Cloud Provider
responsibility
(Trust but verify)introduction à Le client principalement
la sécurité Infrastructure as a Service
Délégation des responsabilités
en termes de sécurisation (IaaS,
PaaS et SaaS)
Platform as a Service
Software as a Service
Le cloud provider principalementcertification &
notion de
confiance Solutions de sécurité à
implémenter (MFA, DLP, CASB)
Monitorer une infrastructure
on-premise ou cloud en termes
de sécurité
Gérer les identités (B2C, B2B,
SCIM)
CODALIS SA | 33zero
trust
Changement de paradigme
Sécurité périmétrique → Identité
CODALIS SA | 34se préparer &
maîtriser les
risques Définir une équipe composée
d’un architecte cloud
Définir les règles de base et
corriger les erreurs potentielles
Commencer par les workloads
non critiques pour gagner en
expérience
Inclure dans son choix du cloud
provider les solutions de sécurité
CODALIS SA | 35Si vous n’allez pas
vers le cloud, le cloud
viendra à vous.
Clément Illitch Bétacorne
CODALIS SA | 36Samuel Janin
04
Senior Manager Technology & Digital
Solutions
Mazars
Mirco di Gregorio
Manager IT Audit & Advisory Services
MazarsGDPR, FINMA, P-LPD : DES PRINCIPES CONVERGEANT
Une place de plus en plus importante à la responsabilité et
à l’auto-contrôle
Chaîne de traitement
Toutes les parties doivent assurer la sécurité des données
Responsabilités Elles doivent en connaître les traitements
Notion de responsable de traitement
Il fournit des instructions claires à ses sous-traitants (RGPD)
Il connaît les mécanismes de sécurité proposés par le sous-traitant (FINMA)
Localisation Il les contrôle régulièrement
Prétentions ou droits des personnes
L’ensemble des parties doivent être en mesure de satisfaire aux demandes de suppression ou modification de données
Le RGPD introduit la demande de portabilité
Sécurité
Gestion des incidents
Le commanditaire et le sous-traitant partagent des processus de gestion des incidents( (violation de données et/ou continuité
d’activités)GDPR, FINMA, P-LPD : DES PRINCIPES CONVERGEANT
La localisation des données n’est pas formellement contrainte mais …
Aucun doute n’est permis
Responsabilités La localisation des données doit être connue et contrôlée
Echanges transfrontaliers autorisés
A condition que la législation du pays soit au moins équivalente aux exigences nationales (LPD et/ou
FINMA)
Localisation Des contrats contraignent et permettent de maîtriser les entités hébergeant les données
Tout est question de choix
Le pays hébergeant est-il politiquement stable ?
Sécurité Les pouvoirs en place peuvent-ils avoir des intérêts dans les données hébergées ?
Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance
de ces données ?GDPR, FINMA, P-LPD : DES PRINCIPES CONVERGEANT
Au-delà de pratiques à l’état de l’art …
Maîtrise des accès privilégiés
Responsabilités Listes nominatives des personnes disposant d’accès privilégiés aux données (FINMA)
Capacités d’auditer les accès
Pour les environnements non maîtrisés
Localisation Tiers administrateurs non contrôlés ou jeux de tests dans le cadre des développements &
changements logiciels :
• Anonymisation
• Pseudonymisation
• Chiffrement
Sécurité
Principe à systématiser dans le cas de données sensibles (RGPD)COMPLÉMENTS
▪ Spécificités suisses :
• Champ d’application de la LPD limité aux personnes physiques
• Importance de l’auto-réglementation sous forme de guidelines ou de best practices sectorielles (validation préposé)
• Le P-LPD limite la notion de portabilité et omet la question du profilage
• Les autorités pénales (pas le préposé) auront la compétence de prononcer des sanctions pénales
• Montant des sanctions relativement bas par rapport aux sanctions RGPD
▪ Circulaires FINMA
• 2008/21 risques opérationnels banque : données d'identification du client (client identifying data ou CID)
• «La banque doit connaître le lieu où les CID sont stockées, les applications et systèmes IT avec lesquels elles sont traitées et le lieu où il est
possible d’y accéder par voie électronique. Il faut s’assurer par des contrôles appropriés que les données sont traitées conformément […].»
• «Lorsque les CID sont stockées hors de Suisse ou qu'elles font l'objet d'un accès depuis l'étranger, les risques accrus qui en résultent sur le
plan de la protection des données des clients doivent être limités de manière appropriée.»
▪ Eléments clés à considérer
• Cloud en Suisse : qu’est-ce qui est effectivement hébergé en Suisse ?
• Quelles sont les fonctions ou services disponibles et leurs champs d’applications géographiques ?
• L’entité qui est propriétaire de ces services est-elle une entité Suisse ?
• Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance de ces données ?
• Qu’est-ce qui est prévu en cas de rachat de l’entité ou de modification des ses statuts ? Qui peut en devenir le propriétaire ? Quels sont dès lors nos
droits ?
4205 TÉMOIGNAGE CLIENT - Federico Rossi Business Analyst RAM Active Investment
Nous sommes à votre disposition ! info@codalis.ch + 41 (0) 58 404 10 00 www.codalis.ch Codalis SA @Codalis @codalis.gva
Vous pouvez aussi lire
