Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART

La page est créée Jérôme Renaud
 
CONTINUER À LIRE
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Politique de sécurité relative à
des services de Cloud Computing

                 Patrick BOCHART
                 Conseiller en sécurité de l’information
                 Quai de Willebroeck, 38
                 B-1000 Bruxelles
                 E-mail: security@ksz-bcss.fgov.be
                 Site web BCSS: www.bcss.fgov.be

                                                           11/3/2014
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Agenda

•   Introduction & Portée
•   Objectifs
•   Risques liés au « Cloud »
•   Politique
•   Annexes

                                     2
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Définition
• Le cloud computing est un modèle Informatique qui permet
  un accès facile et à la demande par le réseau à un ensemble
  partagé de ressources informatiques configurables (serveurs,
  stockage, applications et services) qui peuvent être
  rapidement provisionnées et libérées par un minimum
  d’efforts de gestion ou d’interaction avec le fournisseur du
  service.
   NIST Special Publication 800-145
   The NIST Definition of Cloud Computing

                                                                 3
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Définition
• Caractéristiques essentielles:
    – On-demand self-service : La mise en œuvre des systèmes est entièrement
      automatisée et c’est l’utilisateur, au moyen d’une console de commande, qui met
      en place et gère la configuration à distance.
    – Broad network access : les capacités sont disponibles sur le réseau et accessibles
      par des mécanismes standards, qui favorisent l’accès au service par des clients
      lourds, légers, des smartphones… via des plates-formes hétérogènes
    – Resource pooling : les ressources de calcul sont mises à disposition des clients sur
      un modèle multi-locataires, avec une attribution dynamique des ressources
      physiques et virtuelles en fonction de la demande. Le client n’a généralement
      aucun contrôle ou connaissance sur l’emplacement exact des ressources fournies.
      Toutefois, le client peut imposer de spécifier l’emplacement à un niveau plus haut
      d’abstraction (par exemple le pays, l’état ou le Data Center).
    – Rapid elasticity : les capacités proposées peuvent rapidement augmenter ou
      diminuer en fonction des besoins.
    – Measured service : les systèmes contrôlent et optimisent automatiquement
      l’utilisation des ressources par rapport à une moyenne estimée de consommation
      du service. L’utilisation des ressources peut être gérée, contrôlée et communiquée,
      fournissant ainsi de la transparence au client et au fournisseur.

                                                                                             4
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Définition
• Modèles de service
   – SaaS: « Software as a Service »
   – PaaS: « Platform as a Service
   – IaaS : « Infrastructure as a Service »

                                              5
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
6
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Définition
• Modèle de déploiement
   –   Privé
   –   Communautaire
   –   Hybride
   –   Public

                                    7
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Introduction & Portée

• But
   – Etablir les exigences de sécurité lorsqu’une institution de la sécurité
     sociale envisage de recourir à un service « Cloud Computing »
   – S’assurer que le prestataire du « Cloud Computing » offre des
     garanties suffisantes en matière de protection des données, de
     respect de la loi de la vie privée mais aussi au niveau de la pérennité
     des données et des considérations juridiques et techniques de
     réalisation des prestations.
• Portée
   – Institutions de la sécurité sociale traitant des données confidentielles
     qui souhaitent faire appel à des prestataires de service « Cloud
     Computing » ou offrants des activités d’externalisation IT.

                                                                                8
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Objectifs

• Etablir les exigences minimales de sécurité technique et
  juridique ainsi que les garanties contractuelles
• Qualité attendue du/des service(s) qui sera(seront) sous-
  traité

                                                              9
Politique de sécurité relative à des services de Cloud Computing - Patrick BOCHART
Risques liées au « Cloud »
•   Perte de gouvernance sur le traitement
•   Risques liées aux sous-traitants du prestataire
•   Dépendance technologique
•   Faille dans l’isolation des données
•   Exécution de réquisitions judiciaires sur base de droit étranger sans
    concertation avec les autorités nationales
•   Non-respect des règles de conservation et de destruction des
    données édictées par l’institution
•   Problèmes de gestion des droits d’accès
•   Indisponibilité du service fourni par le prestataire
•   Fermeture du service du prestataire
•   Non-conformité avec la législation

                                                                            10
Politique

•   Directives générales
•   Garantie de mise en œuvre par le prestataire
•   Respect des bonnes pratiques par le prestataire de service
•   Respect des obligations légales et techniques dans le cas de
    traitement de données à caractère personnel

                                                                   11
Politique
                         Directives Générales

• Identification, inventorisation, classification des données,
  traitements ou services
• Identification des conditions minimales ou restrictions en fonction
  de la classification des données
• Identification du type de « Cloud » pertinent
• Définir ses propres exigences de sécurité
• S’assurer de la réversibilité

• Conduire une analyse des risques
afin de :
    – Identifier les risques
    – Définir les mesures de sécurité à appliquer

                                                                        12
Politique
      Garantie de mise en œuvre par le prestataire
Veiller aux garanties contractuelles suivantes :

• Clause relative à la possibilité pour un prestataire de service
  « cloud » de sous-traiter une partie de ses activités.
• Clause relative à l’intégrité, la continuité et la qualité de
  service
• Clause relative à l’assurance de restitution des données
• Clause sur la garantie de portabilité des données et
  l’interopérabilité des systèmes.

                                                                    13
Politique
      Garantie de mise en œuvre par le prestataire
Veiller aux garanties contractuelles suivantes : (suite)

• Clause sur les règles d’audits
• Clause sur les obligations du prestataire en matière de
  confidentialité des données
• Clause sur la souveraineté
• Clause sur les obligations du prestataire en matière de
  sécurité des données

                                                            14
Politique
Respect des bonnes pratiques par le prestataire de service
 Domaines applicabilités des bonnes pratiques
 • Protection des données
 • Sécurité des centres de calcul
 • Sécurité des accès logiques
 • Sécurité des systèmes
 • Sécurité du réseau

                                                             15
Politique
Respect des bonnes pratiques par le prestataire de service
 • Protection des données
    –   Localisation connue et conforme
    –   BCP/DRP mis en œuvre et testé
    –   Sensibilisation personnel
    –   Traçabilité
    –   Gestion des incidents
 • Sécurité des centres de calcul
    –   Contrôle d’accès
    –   Protection physique
    –   Relation sous-traitants
    –   Protection des systèmes de stockage de données

                                                             16
Politique
Respect des bonnes pratiques par le prestataire de service
 • Sécurité des accès logiques
    – Règles d’accès défini par le propriétaire
    – Mécanisme permettant la confidentialité et la traçabilité
    – Politique conforme propriétaire
 • Sécurité des systèmes
    –   Chiffrement des sauvegardes
    –   Gestion et « patching » des vulnérabilités et tests réguliers
    –   Contrôle media-mobiles
    –   Documentation
 • Sécurité des accès au réseau
    – Limitation des accès
    – Ségrégation des réseaux (business/management)
    – Processus de change management

                                                                        17
Politique
Respect des obligations légales et techniques traitements
             données à caractère personnel
Analyse de l’impact sur la sécurité et la confidentialité du
traitement et le stockage de données à caractère personnel dans
le cloud
• Veiller au respect de la législation belge et européenne
  mais également celle spécifique au secteur
• Veiller au respect des règles de protection
  des données à caractère personnel
• Limitation à un prestataire offrant
  des services cloud « privé » ou « communautaire »
• La Directive européenne 95/46/CE permet
   la libre circulation des données à caractère personnel
   au sein de l ’E.U.
• Externalisation des données à caractère personnel nécessite un
  chiffrement (transport et stockage)
                                                                   18
Annexes

• Normes minimales
• L’externalisation IT - « Cloud Computing »
• Déplacement vers une infrastructure « Cloud Computing »

                                                            19
Annexes
                     Les normes minimales
• 15. Relation avec les fournisseurs
   – 15.1 Collaboration avec des sous-traitants
      • doit s’assurer que les obligations en matière de traitement de
        données à caractère personnel sont contractuellement établies.
      • “Dans le cadre d’une solution de type « Cloud Computing », la
        politique de sécurité y relative (ISMS.0050) précise que le choix
        dans une telle situation est limité uniquement à des services cloud
        « communautaire » (ou « privé »).”

      Version 4.0
      Janvier 2015
                                                                              20
Annexes
        L’externalisation IT - « Cloud Computing »
• L’externalisation IT diffère-t-elle du « Cloud Computing »?
   – Niveau sécurité = NON
   – Le « Cloud Computing » est la résultante de l’évolution de
     l’externalisation IT.
   – Cette politique de sécurité peut aussi être prise en considération dans
     toutes activités d’externalisation IT

                                                                               21
Annexes
Déplacement vers une infrastructure « Cloud Computing »
 • Réaliser un ROI du « Cloud Computing»
 • Identifier, classifier les actifs dans le champ « Cloud
   Computing ».
 • Préparer une liste de candidats potentiels
 • Exécuter un « Sanity Check » de ceux-ci
 • Impliquer les personnes clés de l’organisation
 • Examiner en profondeur le design et les exigences de la
   solution proposée par le candidat

                                                             22
Patrick BOCHART
              Conseiller en sécurité de l’information
              Banque Carrefour de la Sécurité Sociale

MERCI !       security@ksz-bcss.fgov.be

QUESTIONS ?   https://www.bcss.fgov.be/

                                                        23
Vous pouvez aussi lire