Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Politique de sécurité relative à
des services de Cloud Computing
Patrick BOCHART
Conseiller en sécurité de l’information
Quai de Willebroeck, 38
B-1000 Bruxelles
E-mail: security@ksz-bcss.fgov.be
Site web BCSS: www.bcss.fgov.be
11/3/2014Définition
• Le cloud computing est un modèle Informatique qui permet
un accès facile et à la demande par le réseau à un ensemble
partagé de ressources informatiques configurables (serveurs,
stockage, applications et services) qui peuvent être
rapidement provisionnées et libérées par un minimum
d’efforts de gestion ou d’interaction avec le fournisseur du
service.
NIST Special Publication 800-145
The NIST Definition of Cloud Computing
3Définition
• Caractéristiques essentielles:
– On-demand self-service : La mise en œuvre des systèmes est entièrement
automatisée et c’est l’utilisateur, au moyen d’une console de commande, qui met
en place et gère la configuration à distance.
– Broad network access : les capacités sont disponibles sur le réseau et accessibles
par des mécanismes standards, qui favorisent l’accès au service par des clients
lourds, légers, des smartphones… via des plates-formes hétérogènes
– Resource pooling : les ressources de calcul sont mises à disposition des clients sur
un modèle multi-locataires, avec une attribution dynamique des ressources
physiques et virtuelles en fonction de la demande. Le client n’a généralement
aucun contrôle ou connaissance sur l’emplacement exact des ressources fournies.
Toutefois, le client peut imposer de spécifier l’emplacement à un niveau plus haut
d’abstraction (par exemple le pays, l’état ou le Data Center).
– Rapid elasticity : les capacités proposées peuvent rapidement augmenter ou
diminuer en fonction des besoins.
– Measured service : les systèmes contrôlent et optimisent automatiquement
l’utilisation des ressources par rapport à une moyenne estimée de consommation
du service. L’utilisation des ressources peut être gérée, contrôlée et communiquée,
fournissant ainsi de la transparence au client et au fournisseur.
4Définition
• Modèles de service
– SaaS: « Software as a Service »
– PaaS: « Platform as a Service
– IaaS : « Infrastructure as a Service »
5Introduction & Portée
• But
– Etablir les exigences de sécurité lorsqu’une institution de la sécurité
sociale envisage de recourir à un service « Cloud Computing »
– S’assurer que le prestataire du « Cloud Computing » offre des
garanties suffisantes en matière de protection des données, de
respect de la loi de la vie privée mais aussi au niveau de la pérennité
des données et des considérations juridiques et techniques de
réalisation des prestations.
• Portée
– Institutions de la sécurité sociale traitant des données confidentielles
qui souhaitent faire appel à des prestataires de service « Cloud
Computing » ou offrants des activités d’externalisation IT.
8Objectifs
• Etablir les exigences minimales de sécurité technique et
juridique ainsi que les garanties contractuelles
• Qualité attendue du/des service(s) qui sera(seront) sous-
traité
9Risques liées au « Cloud »
• Perte de gouvernance sur le traitement
• Risques liées aux sous-traitants du prestataire
• Dépendance technologique
• Faille dans l’isolation des données
• Exécution de réquisitions judiciaires sur base de droit étranger sans
concertation avec les autorités nationales
• Non-respect des règles de conservation et de destruction des
données édictées par l’institution
• Problèmes de gestion des droits d’accès
• Indisponibilité du service fourni par le prestataire
• Fermeture du service du prestataire
• Non-conformité avec la législation
10Politique
• Directives générales
• Garantie de mise en œuvre par le prestataire
• Respect des bonnes pratiques par le prestataire de service
• Respect des obligations légales et techniques dans le cas de
traitement de données à caractère personnel
11Politique
Directives Générales
• Identification, inventorisation, classification des données,
traitements ou services
• Identification des conditions minimales ou restrictions en fonction
de la classification des données
• Identification du type de « Cloud » pertinent
• Définir ses propres exigences de sécurité
• S’assurer de la réversibilité
• Conduire une analyse des risques
afin de :
– Identifier les risques
– Définir les mesures de sécurité à appliquer
12Politique
Garantie de mise en œuvre par le prestataire
Veiller aux garanties contractuelles suivantes :
• Clause relative à la possibilité pour un prestataire de service
« cloud » de sous-traiter une partie de ses activités.
• Clause relative à l’intégrité, la continuité et la qualité de
service
• Clause relative à l’assurance de restitution des données
• Clause sur la garantie de portabilité des données et
l’interopérabilité des systèmes.
13Politique
Garantie de mise en œuvre par le prestataire
Veiller aux garanties contractuelles suivantes : (suite)
• Clause sur les règles d’audits
• Clause sur les obligations du prestataire en matière de
confidentialité des données
• Clause sur la souveraineté
• Clause sur les obligations du prestataire en matière de
sécurité des données
14Politique
Respect des bonnes pratiques par le prestataire de service
Domaines applicabilités des bonnes pratiques
• Protection des données
• Sécurité des centres de calcul
• Sécurité des accès logiques
• Sécurité des systèmes
• Sécurité du réseau
15Politique
Respect des bonnes pratiques par le prestataire de service
• Protection des données
– Localisation connue et conforme
– BCP/DRP mis en œuvre et testé
– Sensibilisation personnel
– Traçabilité
– Gestion des incidents
• Sécurité des centres de calcul
– Contrôle d’accès
– Protection physique
– Relation sous-traitants
– Protection des systèmes de stockage de données
16Politique
Respect des bonnes pratiques par le prestataire de service
• Sécurité des accès logiques
– Règles d’accès défini par le propriétaire
– Mécanisme permettant la confidentialité et la traçabilité
– Politique conforme propriétaire
• Sécurité des systèmes
– Chiffrement des sauvegardes
– Gestion et « patching » des vulnérabilités et tests réguliers
– Contrôle media-mobiles
– Documentation
• Sécurité des accès au réseau
– Limitation des accès
– Ségrégation des réseaux (business/management)
– Processus de change management
17Politique
Respect des obligations légales et techniques traitements
données à caractère personnel
Analyse de l’impact sur la sécurité et la confidentialité du
traitement et le stockage de données à caractère personnel dans
le cloud
• Veiller au respect de la législation belge et européenne
mais également celle spécifique au secteur
• Veiller au respect des règles de protection
des données à caractère personnel
• Limitation à un prestataire offrant
des services cloud « privé » ou « communautaire »
• La Directive européenne 95/46/CE permet
la libre circulation des données à caractère personnel
au sein de l ’E.U.
• Externalisation des données à caractère personnel nécessite un
chiffrement (transport et stockage)
18Annexes
• Normes minimales
• L’externalisation IT - « Cloud Computing »
• Déplacement vers une infrastructure « Cloud Computing »
19Annexes
Les normes minimales
• 15. Relation avec les fournisseurs
– 15.1 Collaboration avec des sous-traitants
• doit s’assurer que les obligations en matière de traitement de
données à caractère personnel sont contractuellement établies.
• “Dans le cadre d’une solution de type « Cloud Computing », la
politique de sécurité y relative (ISMS.0050) précise que le choix
dans une telle situation est limité uniquement à des services cloud
« communautaire » (ou « privé »).”
Version 4.0
Janvier 2015
20Annexes
L’externalisation IT - « Cloud Computing »
• L’externalisation IT diffère-t-elle du « Cloud Computing »?
– Niveau sécurité = NON
– Le « Cloud Computing » est la résultante de l’évolution de
l’externalisation IT.
– Cette politique de sécurité peut aussi être prise en considération dans
toutes activités d’externalisation IT
21Annexes
Déplacement vers une infrastructure « Cloud Computing »
• Réaliser un ROI du « Cloud Computing»
• Identifier, classifier les actifs dans le champ « Cloud
Computing ».
• Préparer une liste de candidats potentiels
• Exécuter un « Sanity Check » de ceux-ci
• Impliquer les personnes clés de l’organisation
• Examiner en profondeur le design et les exigences de la
solution proposée par le candidat
22Patrick BOCHART
Conseiller en sécurité de l’information
Banque Carrefour de la Sécurité Sociale
MERCI ! security@ksz-bcss.fgov.be
QUESTIONS ? https://www.bcss.fgov.be/
23Vous pouvez aussi lire