Politique de sécurité relative à des services de Cloud Computing

Politique de sécurité relative à des services de Cloud Computing

Politique de sécurité relative à des services de Cloud Computing

Patrick BOCHART Conseiller en sécurité de l’information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be Politique de sécurité relative à des services de Cloud Computing 11/3/2014

Politique de sécurité relative à des services de Cloud Computing

Agenda • Introduction & Portée • Objectifs • Risques liés au « Cloud » • Politique • Annexes 2

Politique de sécurité relative à des services de Cloud Computing

Définition • Le cloud computing est un modèle Informatique qui permet un accès facile et à la demande par le réseau à un ensemble partagé de ressources informatiques configurables (serveurs, stockage, applications et services) qui peuvent être rapidement provisionnées et libérées par un minimum d’efforts de gestion ou d’interaction avec le fournisseur du service. NIST Special Publication 800-145 The NIST Definition of Cloud Computing 3

Politique de sécurité relative à des services de Cloud Computing

Définition • Caractéristiques essentielles: – On-demand self-service : La mise en œuvre des systèmes est entièrement automatisée et c’est l’utilisateur, au moyen d’une console de commande, qui met en place et gère la configuration à distance. – Broad network access : les capacités sont disponibles sur le réseau et accessibles par des mécanismes standards, qui favorisent l’accès au service par des clients lourds, légers, des smartphones… via des plates-formes hétérogènes – Resource pooling : les ressources de calcul sont mises à disposition des clients sur un modèle multi-locataires, avec une attribution dynamique des ressources physiques et virtuelles en fonction de la demande. Le client n’a généralement aucun contrôle ou connaissance sur l’emplacement exact des ressources fournies. Toutefois, le client peut imposer de spécifier l’emplacement à un niveau plus haut d’abstraction (par exemple le pays, l’état ou le Data Center). – Rapid elasticity : les capacités proposées peuvent rapidement augmenter ou diminuer en fonction des besoins.

– Measured service : les systèmes contrôlent et optimisent automatiquement l’utilisation des ressources par rapport à une moyenne estimée de consommation du service. L’utilisation des ressources peut être gérée, contrôlée et communiquée, fournissant ainsi de la transparence au client et au fournisseur. 4

Politique de sécurité relative à des services de Cloud Computing

Définition • Modèles de service – SaaS: « Software as a Service » – PaaS: « Platform as a Service – IaaS : « Infrastructure as a Service » 5

Politique de sécurité relative à des services de Cloud Computing

6

Politique de sécurité relative à des services de Cloud Computing

Définition • Modèle de déploiement – Privé – Communautaire – Hybride – Public 7

Politique de sécurité relative à des services de Cloud Computing

Introduction & Portée • But – Etablir les exigences de sécurité lorsqu’une institution de la sécurité sociale envisage de recourir à un service « Cloud Computing » – S’assurer que le prestataire du « Cloud Computing » offre des garanties suffisantes en matière de protection des données, de respect de la loi de la vie privée mais aussi au niveau de la pérennité des données et des considérations juridiques et techniques de réalisation des prestations.

• Portée – Institutions de la sécurité sociale traitant des données confidentielles qui souhaitent faire appel à des prestataires de service « Cloud Computing » ou offrants des activités d’externalisation IT. 8

Politique de sécurité relative à des services de Cloud Computing

Objectifs • Etablir les exigences minimales de sécurité technique et juridique ainsi que les garanties contractuelles • Qualité attendue du/des service(s) qui sera(seront) sous- traité 9

Politique de sécurité relative à des services de Cloud Computing

Risques liées au « Cloud » • Perte de gouvernance sur le traitement • Risques liées aux sous-traitants du prestataire • Dépendance technologique • Faille dans l’isolation des données • Exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales • Non-respect des règles de conservation et de destruction des données édictées par l’institution • Problèmes de gestion des droits d’accès • Indisponibilité du service fourni par le prestataire • Fermeture du service du prestataire • Non-conformité avec la législation 10

Politique • Directives générales • Garantie de mise en œuvre par le prestataire • Respect des bonnes pratiques par le prestataire de service • Respect des obligations légales et techniques dans le cas de traitement de données à caractère personnel 11

Politique Directives Générales • Identification, inventorisation, classification des données, traitements ou services • Identification des conditions minimales ou restrictions en fonction de la classification des données • Identification du type de « Cloud » pertinent • Définir ses propres exigences de sécurité • S’assurer de la réversibilité • Conduire une analyse des risques afin de : – Identifier les risques – Définir les mesures de sécurité à appliquer 12

Politique Garantie de mise en œuvre par le prestataire Veiller aux garanties contractuelles suivantes : • Clause relative à la possibilité pour un prestataire de service « cloud » de sous-traiter une partie de ses activités. • Clause relative à l’intégrité, la continuité et la qualité de service • Clause relative à l’assurance de restitution des données • Clause sur la garantie de portabilité des données et l’interopérabilité des systèmes. 13

Politique Garantie de mise en œuvre par le prestataire Veiller aux garanties contractuelles suivantes : (suite) • Clause sur les règles d’audits • Clause sur les obligations du prestataire en matière de confidentialité des données • Clause sur la souveraineté • Clause sur les obligations du prestataire en matière de sécurité des données 14

Politique Respect des bonnes pratiques par le prestataire de service Domaines applicabilités des bonnes pratiques • Protection des données • Sécurité des centres de calcul • Sécurité des accès logiques • Sécurité des systèmes • Sécurité du réseau 15

Politique Respect des bonnes pratiques par le prestataire de service • Protection des données – Localisation connue et conforme – BCP/DRP mis en œuvre et testé – Sensibilisation personnel – Traçabilité – Gestion des incidents • Sécurité des centres de calcul – Contrôle d’accès – Protection physique – Relation sous-traitants – Protection des systèmes de stockage de données 16

Politique Respect des bonnes pratiques par le prestataire de service • Sécurité des accès logiques – Règles d’accès défini par le propriétaire – Mécanisme permettant la confidentialité et la traçabilité – Politique conforme propriétaire • Sécurité des systèmes – Chiffrement des sauvegardes – Gestion et « patching » des vulnérabilités et tests réguliers – Contrôle media-mobiles – Documentation • Sécurité des accès au réseau – Limitation des accès – Ségrégation des réseaux (business/management) – Processus de change management 17

Politique Respect des obligations légales et techniques traitements données à caractère personnel Analyse de l’impact sur la sécurité et la confidentialité du traitement et le stockage de données à caractère personnel dans le cloud • Veiller au respect de la législation belge et européenne mais également celle spécifique au secteur • Veiller au respect des règles de protection des données à caractère personnel • Limitation à un prestataire offrant des services cloud « privé » ou « communautaire » • La Directive européenne 95/46/CE permet la libre circulation des données à caractère personnel au sein de l ’E.U.

• Externalisation des données à caractère personnel nécessite un chiffrement (transport et stockage) 18

Annexes • Normes minimales • L’externalisation IT - « Cloud Computing » • Déplacement vers une infrastructure « Cloud Computing » 19

20 Annexes Les normes minimales • 15. Relation avec les fournisseurs – 15.1 Collaboration avec des sous-traitants • doit s’assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies. • “Dans le cadre d’une solution de type « Cloud Computing », la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud « communautaire » (ou « privé »).” Version 4.0 Janvier 2015

Annexes L’externalisation IT - « Cloud Computing » • L’externalisation IT diffère-t-elle du « Cloud Computing »? – Niveau sécurité = NON – Le « Cloud Computing » est la résultante de l’évolution de l’externalisation IT. – Cette politique de sécurité peut aussi être prise en considération dans toutes activités d’externalisation IT 21

Annexes Déplacement vers une infrastructure « Cloud Computing » • Réaliser un ROI du « Cloud Computing» • Identifier, classifier les actifs dans le champ « Cloud Computing ». • Préparer une liste de candidats potentiels • Exécuter un « Sanity Check » de ceux-ci • Impliquer les personnes clés de l’organisation • Examiner en profondeur le design et les exigences de la solution proposée par le candidat 22

Patrick BOCHART Conseiller en sécurité de l’information Banque Carrefour de la Sécurité Sociale security@ksz-bcss.fgov.be https://www.bcss.fgov.be/ MERCI ! QUESTIONS ? 23

Vous pouvez aussi lire