SlideShare une entreprise Scribd logo

Clusif cloud-2010-securite

Oxalide
Oxalide
1  sur  34
Télécharger pour lire hors ligne
Cycle de conférences sur Cloud Computing et Virtualisation Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France
Cloud Computing et Sécurité Agenda Qu’est-ce que le Cloud Computing ? NIST Berkeley Sécurité dans le Cloud Généralités Cloud Security Alliance (CSA) European Network and Information Security Agency (ENISA) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
Cloud Computing et Sécurité QU’EST-CE QUE LE CLOUD COMPUTING ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
Cloud Computing et Sécurité 5ème génération d’architecture 2010 Cloud 2000 SOA 1990 Web 1980 Client-Server 1970 Mainframe CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? Deux références utiles : The NIST Definition of Cloud Computing (oct. 2009) Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009) http://geekandpoke.typepad.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
Cloud Computing et Sécurité 5 Caractéristiques Libre service à la demande Accès réseau, clients variés Mise en commun des ressources (pooling) « Élasticité » rapide Service mesuré et facturation à l’usage CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
Cloud Computing et Sécurité 3 modèles de service A construire soi-même Exemples Software BPOS, Google Apps, as a Service Salesforce.com... (SaaS) Platform as a Microsoft Azure, Force.com, Service (PaaS) Google App Engine… Microsoft Azure, EC2, Infrastructure hébergeurs de systèmes, as a Service (IaaS) fournisseurs de machines virtuelles CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
Cloud Computing et Sécurité 4 modèles de déploiement Private Cloud Propriété (ou location) de l’entreprise Interne ou externe Par certains côtés, une évolution du travail du Jericho Forum Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur L’infrastructure est la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
Cloud Computing et Sécurité Résumé de la vue du NIST CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
Cloud Computing et Sécurité Le Continuum du Cloud Computing BENEFICE DU CHOIX CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
Cloud Computing et Sécurité Adoption du Cloud en France Largement associé à la virtualisation (92%), principalement de serveurs (88%) Projet qui doit être piloté par la DSI (67%) Largement orienté vers les clouds privés (71%) Stratégique pour seulement 24 % des entreprises SaaS : Messagerie (54%), Finance et compta (26%), CRM Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
Cloud Computing et Sécurité Adoption du Cloud en France Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
Cloud Computing et Sécurité Cloud privé en tête Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
Cloud Computing et Sécurité Freins à l’adoption Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
Cloud Computing et Sécurité CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
Cloud Computing et Sécurité L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
Cloud Computing et Sécurité Les préoccupations classiques du Cloud Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles ? Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
Cloud Computing et Sécurité Les avantages généraux en termes de sécurité Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Disponibilité : redondance, récupération en cas de désastre CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
Cloud Computing et Sécurité Défis sécurité du Cloud (1/2) Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
Cloud Computing et Sécurité Défis sécurité du Cloud (2/2) Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
Cloud Computing et Sécurité Quelques problèmes complémentaires Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud Evaluation de l’impact en termes de respect de la vie privée Utilisation de SLA pour obtenir la sécurité du Cloud Suggestion de critères requis pour les SLA du Cloud Problèmes avec les analyses forensic dans le Cloud Plan de contingence et récupération en cas de désastre pour des implémentations Cloud Gestion de la conformité FISMA HIPAA SOX PCI Audits SAS 70 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
Cloud Computing et Sécurité Pour résumer Dispersion des données, stockage à l’étranger Conformité Multi-location, isolation Perte de contrôle Exposition aux risques Protection des données CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
Cloud Computing et Sécurité Cloud Security Alliance http://cloudsecurityalliance.org/ Conseils de sécurité pour les principaux points d’intérêt du cloud computing Principales menaces sur le cloud computing (avec HP) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
Cloud Computing et Sécurité 13 domaines d’intérêt selon CSA Section I. Cloud Architecture Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Domain 7: Traditional Security, Framework Business Continuity, and Disaster Recovery Section II. Governing in the Cloud Domain 8: Data Center Operations Domain 2: Governance and Enterprise Risk Domain 9: Incident Response, Management Notification, and Remediation Domain 3: Legal and Electronic Discovery Domain 10: Application Security Domain 4: Compliance and Audit Domain 11: Encryption and Key Management Domain 5: Information Lifecycle Management Domain 12: Identity and Access Management Domain 6: Portability and Interoperability Domain 13: Virtualization CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
Cloud Computing et Sécurité Principales menaces selon CSA/HP Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
Cloud Computing et Sécurité ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
Cloud Computing et Sécurité Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
Cloud Computing et Sécurité Cloud ≠ Virtualisation, mais… Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement : Isolation Gestion des mises à jour Réseau Multi-location CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
Cloud Computing et Sécurité Implications techniques sur l’architecture Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS Chiffrement des données en transit à tous les niveaux Chiffrement au niveau du stockage Défi de la gestion des clés… Contrôle d’accès Gestion d’identité, fédération d’identité, « identity clouds », SAML Sécurité applicative CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
Cloud Computing et Sécurité Conclusion Avantages certains Risques juridiques importants Importance des contrats (enfermement, juridiction…) Risques techniques classiques Surveiller les travaux de CSA, NIST, ENISA CSA Control Matrix (CM) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
Cloud Computing et Sécurité Références Berkeley: http://berkeleyclouds.blogspot.com/ NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/ ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cl oud-computing-risk-assessment CSA: http://cloudsecurityalliance.org/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
Cloud Computing et Sécurité Références http://www.microsoft.com/france/securite/guides- conseils/cloud.aspx http://asert.arbornetworks.com/2010/04/why-hackers-love- the-cloud/ http://www.itrmanager.com/articles/103242/1re-enquete- cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html http://cloudsecurity.org/ http://cloudaudit.org/ http://www.forrester.com/cloudprivacyheatmap http://www.trusted-cloud.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
Cloud Computing et Sécurité Offres Microsoft http://www.microsoft.com/cloud http://www.microsoft.com/windowsazure http://www.microsoft.com/bpos http://www.microsoft.com/privatecloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34

Recommandé

Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 

Recommandé

Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Livre Blanc Cloud Computing / Sécurité
Livre Blanc Cloud Computing / Sécurité Syntec Numérique
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingYann Riviere CCSK, CISSP, CRISC, CISM
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingInstitut Poly Informatique
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloudHassan EL ALLOUSSI
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Fred Canevet
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing leilameherzi
 

Contenu connexe

Tendances

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudGeoffroy Moens
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computingDany Rabe
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...POST Telecom for Business
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud ComputingMarc Rousselet
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesRomain Fonnier
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSIStor Solutions
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computingPhilippe Scoffoni
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Fred Canevet
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Olivier Schmitt
 

Tendances (20)

ECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloudECP_La_securité_dans_le_cloud
ECP_La_securité_dans_le_cloud
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
La sécurité en cloud computing
La sécurité en cloud computingLa sécurité en cloud computing
La sécurité en cloud computing
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Introduction au Cloud Computing
Introduction au Cloud ComputingIntroduction au Cloud Computing
Introduction au Cloud Computing
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business ServicesLa securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Cloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSICloud Computing : enjeux pour les DSI
Cloud Computing : enjeux pour les DSI
 
Introduction au Cloud computing
Introduction au Cloud computingIntroduction au Cloud computing
Introduction au Cloud computing
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
 
Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?Qu'est ce que le Cloud computing ?
Qu'est ce que le Cloud computing ?
 

Similaire à Clusif cloud-2010-securite

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Cloud Computing et Marketing
Cloud Computing et MarketingCloud Computing et Marketing
Cloud Computing et MarketingMarketing PME
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfhasna920888
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des donnéessmiste
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityMohamed Belhadj
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane@aboukam (Abou Kamagaté)
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Christophe Monnier
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCERTyou Formation
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...Club Alliances
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueFrederic Desprez
 
Session Objet Connecté gwab 2014 paris
Session Objet Connecté gwab 2014 parisSession Objet Connecté gwab 2014 paris
Session Objet Connecté gwab 2014 parisAymeric Weinbach
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentauxNuageo
 
Session iot gwab 2014 paris
Session iot gwab 2014 parisSession iot gwab 2014 paris
Session iot gwab 2014 parisMarius Zaharia
 
Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfFootballLovers9
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfFootballLovers9
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Vincent Misson
 

Similaire à Clusif cloud-2010-securite (20)

Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Cloud Computing et Marketing
Cloud Computing et MarketingCloud Computing et Marketing
Cloud Computing et Marketing
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Cloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidianeCloud computing présenté par Doumbia tidiane
Cloud computing présenté par Doumbia tidiane
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exin
 
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
2010.12.02 - le SaaS et le Cloud pour les N...ouveaux - Webinaire Aspaway - L...
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologique
 
Session Objet Connecté gwab 2014 paris
Session Objet Connecté gwab 2014 parisSession Objet Connecté gwab 2014 paris
Session Objet Connecté gwab 2014 paris
 
Cloud Computing : les fondamentaux
Cloud Computing : les fondamentauxCloud Computing : les fondamentaux
Cloud Computing : les fondamentaux
 
Session iot gwab 2014 paris
Session iot gwab 2014 parisSession iot gwab 2014 paris
Session iot gwab 2014 paris
 
Resume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdfResume-theorique-M209-V1-0909_2.pdf
Resume-theorique-M209-V1-0909_2.pdf
 
Resume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdfResume-theorique-M209-V1-0909_3.pdf
Resume-theorique-M209-V1-0909_3.pdf
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?
 

Plus de Oxalide

Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!Oxalide
 
Workshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide AcademyWorkshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide AcademyOxalide
 
Morning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide AcademyMorning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide AcademyOxalide
 
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...Oxalide
 
Morning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slidesMorning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slidesOxalide
 
Docker compose
Docker composeDocker compose
Docker composeOxalide
 
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassinOxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassinOxalide
 
Varnish & blue/green deployments
Varnish & blue/green deploymentsVarnish & blue/green deployments
Varnish & blue/green deploymentsOxalide
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?Oxalide
 
Oxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic SearchOxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic SearchOxalide
 
Paris hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audienceParis hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audienceOxalide
 
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...Oxalide
 
La performance de vos applications Drupal
La performance de vos applications DrupalLa performance de vos applications Drupal
La performance de vos applications DrupalOxalide
 
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...Oxalide
 
201211 drupagora hostingdrupal
201211 drupagora hostingdrupal201211 drupagora hostingdrupal
201211 drupagora hostingdrupalOxalide
 
Cloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsCloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsOxalide
 
Comprendre pour choisir son hébergement
Comprendre pour choisir son hébergementComprendre pour choisir son hébergement
Comprendre pour choisir son hébergementOxalide
 
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Oxalide
 
Performance barcampfinal
Performance barcampfinalPerformance barcampfinal
Performance barcampfinalOxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 

Plus de Oxalide (20)

Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!
 
Workshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide AcademyWorkshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide Academy
 
Morning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide AcademyMorning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide Academy
 
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
 
Morning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slidesMorning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slides
 
Docker compose
Docker composeDocker compose
Docker compose
 
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassinOxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
 
Varnish & blue/green deployments
Varnish & blue/green deploymentsVarnish & blue/green deployments
Varnish & blue/green deployments
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
 
Oxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic SearchOxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic Search
 
Paris hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audienceParis hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audience
 
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
 
La performance de vos applications Drupal
La performance de vos applications DrupalLa performance de vos applications Drupal
La performance de vos applications Drupal
 
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
 
201211 drupagora hostingdrupal
201211 drupagora hostingdrupal201211 drupagora hostingdrupal
201211 drupagora hostingdrupal
 
Cloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsCloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutions
 
Comprendre pour choisir son hébergement
Comprendre pour choisir son hébergementComprendre pour choisir son hébergement
Comprendre pour choisir son hébergement
 
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
 
Performance barcampfinal
Performance barcampfinalPerformance barcampfinal
Performance barcampfinal
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 

Clusif cloud-2010-securite

  • 1. Cycle de conférences sur Cloud Computing et Virtualisation Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France
  • 2. Cloud Computing et Sécurité Agenda Qu’est-ce que le Cloud Computing ? NIST Berkeley Sécurité dans le Cloud Généralités Cloud Security Alliance (CSA) European Network and Information Security Agency (ENISA) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
  • 3. Cloud Computing et Sécurité QU’EST-CE QUE LE CLOUD COMPUTING ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
  • 4. Cloud Computing et Sécurité 5ème génération d’architecture 2010 Cloud 2000 SOA 1990 Web 1980 Client-Server 1970 Mainframe CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
  • 5. Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? Deux références utiles : The NIST Definition of Cloud Computing (oct. 2009) Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009) http://geekandpoke.typepad.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
  • 6. Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
  • 7. Cloud Computing et Sécurité 5 Caractéristiques Libre service à la demande Accès réseau, clients variés Mise en commun des ressources (pooling) « Élasticité » rapide Service mesuré et facturation à l’usage CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
  • 8. Cloud Computing et Sécurité 3 modèles de service A construire soi-même Exemples Software BPOS, Google Apps, as a Service Salesforce.com... (SaaS) Platform as a Microsoft Azure, Force.com, Service (PaaS) Google App Engine… Microsoft Azure, EC2, Infrastructure hébergeurs de systèmes, as a Service (IaaS) fournisseurs de machines virtuelles CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
  • 9. Cloud Computing et Sécurité 4 modèles de déploiement Private Cloud Propriété (ou location) de l’entreprise Interne ou externe Par certains côtés, une évolution du travail du Jericho Forum Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur L’infrastructure est la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
  • 10. Cloud Computing et Sécurité Résumé de la vue du NIST CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
  • 11. Cloud Computing et Sécurité Le Continuum du Cloud Computing BENEFICE DU CHOIX CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
  • 12. Cloud Computing et Sécurité Adoption du Cloud en France Largement associé à la virtualisation (92%), principalement de serveurs (88%) Projet qui doit être piloté par la DSI (67%) Largement orienté vers les clouds privés (71%) Stratégique pour seulement 24 % des entreprises SaaS : Messagerie (54%), Finance et compta (26%), CRM Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
  • 13. Cloud Computing et Sécurité Adoption du Cloud en France Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
  • 14. Cloud Computing et Sécurité Cloud privé en tête Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
  • 15. Cloud Computing et Sécurité Freins à l’adoption Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
  • 16. Cloud Computing et Sécurité CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
  • 17. Cloud Computing et Sécurité L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
  • 18. Cloud Computing et Sécurité Les préoccupations classiques du Cloud Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles ? Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
  • 19. Cloud Computing et Sécurité Les avantages généraux en termes de sécurité Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Disponibilité : redondance, récupération en cas de désastre CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
  • 20. Cloud Computing et Sécurité Défis sécurité du Cloud (1/2) Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
  • 21. Cloud Computing et Sécurité Défis sécurité du Cloud (2/2) Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
  • 22. Cloud Computing et Sécurité Quelques problèmes complémentaires Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud Evaluation de l’impact en termes de respect de la vie privée Utilisation de SLA pour obtenir la sécurité du Cloud Suggestion de critères requis pour les SLA du Cloud Problèmes avec les analyses forensic dans le Cloud Plan de contingence et récupération en cas de désastre pour des implémentations Cloud Gestion de la conformité FISMA HIPAA SOX PCI Audits SAS 70 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
  • 23. Cloud Computing et Sécurité Pour résumer Dispersion des données, stockage à l’étranger Conformité Multi-location, isolation Perte de contrôle Exposition aux risques Protection des données CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
  • 24. Cloud Computing et Sécurité Cloud Security Alliance http://cloudsecurityalliance.org/ Conseils de sécurité pour les principaux points d’intérêt du cloud computing Principales menaces sur le cloud computing (avec HP) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
  • 25. Cloud Computing et Sécurité 13 domaines d’intérêt selon CSA Section I. Cloud Architecture Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Domain 7: Traditional Security, Framework Business Continuity, and Disaster Recovery Section II. Governing in the Cloud Domain 8: Data Center Operations Domain 2: Governance and Enterprise Risk Domain 9: Incident Response, Management Notification, and Remediation Domain 3: Legal and Electronic Discovery Domain 10: Application Security Domain 4: Compliance and Audit Domain 11: Encryption and Key Management Domain 5: Information Lifecycle Management Domain 12: Identity and Access Management Domain 6: Portability and Interoperability Domain 13: Virtualization CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
  • 26. Cloud Computing et Sécurité Principales menaces selon CSA/HP Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
  • 27. Cloud Computing et Sécurité ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
  • 28. Cloud Computing et Sécurité Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
  • 29. Cloud Computing et Sécurité Cloud ≠ Virtualisation, mais… Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement : Isolation Gestion des mises à jour Réseau Multi-location CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
  • 30. Cloud Computing et Sécurité Implications techniques sur l’architecture Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS Chiffrement des données en transit à tous les niveaux Chiffrement au niveau du stockage Défi de la gestion des clés… Contrôle d’accès Gestion d’identité, fédération d’identité, « identity clouds », SAML Sécurité applicative CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
  • 31. Cloud Computing et Sécurité Conclusion Avantages certains Risques juridiques importants Importance des contrats (enfermement, juridiction…) Risques techniques classiques Surveiller les travaux de CSA, NIST, ENISA CSA Control Matrix (CM) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
  • 32. Cloud Computing et Sécurité Références Berkeley: http://berkeleyclouds.blogspot.com/ NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/ ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cl oud-computing-risk-assessment CSA: http://cloudsecurityalliance.org/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
  • 33. Cloud Computing et Sécurité Références http://www.microsoft.com/france/securite/guides- conseils/cloud.aspx http://asert.arbornetworks.com/2010/04/why-hackers-love- the-cloud/ http://www.itrmanager.com/articles/103242/1re-enquete- cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html http://cloudsecurity.org/ http://cloudaudit.org/ http://www.forrester.com/cloudprivacyheatmap http://www.trusted-cloud.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
  • 34. Cloud Computing et Sécurité Offres Microsoft http://www.microsoft.com/cloud http://www.microsoft.com/windowsazure http://www.microsoft.com/bpos http://www.microsoft.com/privatecloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34