1
|
Module 1 : Introduction à la sécurité du Cloud Computing
- Définition du Cloud Computing (NIST) et norme ISO 17788
- Les principaux fournisseurs et les principales défaillances déjà constatées
- Les offres de SecaaS (Security as a Service)
- Les clés d’une architecture sécurisée dans le Cloud
Module 2 : La sécurité des environnements virtuels
- Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)
- La problématique de la protection anti-malware dans une infrastructure virtualisée
- Les risques liés aux vulnérabilités, aux API et aux logiciels (Openstack, Docker, VmWare…)
Module 3 : La sécurité des accès réseaux au Cloud
- Les accès sécurisés via Ipsec, VPN, https et SSH
- Les solutions spécifiques d’accès au Cloud (Intercloud, AWS Direct connect…)
- Les solutions CASB (Cloud Access Security Broker)
- Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs
Module 4 : Les travaux de la Cloud Security Alliance (CSA)
- Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing
- Les douze principales menaces identifiées dans le Cloud
- Le framework OCF et l’annuaire STAR (Security, Trust & Assurance Registry)
- Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
- La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge)
Module 5 : La sécurité du Cloud Computing selon l’ENISA
- Evaluation et gestion des risques du Cloud par la norme ISO 27005
- Les trente-cinq risques identifiés par l’ENISA
- Les recommandations ENISA pour la sécurité des Clouds gouvernementaux
Module 6 : Contrôler la sécurité du Cloud
- Comment contrôler la sécurité dans le Cloud : audit, test d’intrusion, qualification, certification ?
- Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?
- Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?
- Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?
Module 7 : Le contrat Cloud
- Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité…)
- Les clauses de réversibilité (amont & val) pour ne pas se faire piéger par un fournisseur
- La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
- L’importance de la localisation des données et de la juridiction retenue
- Les accords de service dans le Cloud (SLA)
- Pénalités et indemnités : bien comprendre les différences
Module 8 : Aspects juridiques et conformité réglementaire
- Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
- La nationalité du fournisseur et la localisation des Datacenters
- Le cadre juridique des données à caractère personnel (Directive 95/46 CE, GDPR, CCT, BCR…)
- Après l’annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
- Le point sur l’USA Patriot Act. Menace-t-il les données dans le Cloud à l’extérieur des USA ?
- Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016)
- Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données, etc.)
Module 9 : Les normes de sécurité dans le Cloud
- Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?
- Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
- Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud
- Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?
- La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix
Module 10 : La gestion des licences dans le Cloud
- Comprendre pourquoi la gestion des licences est plus complexe dans le Cloud
- Comment assurer la conformité ?
- Les limites des outils de gestion des actifs logiciels (Software Asset Management) dans le Cloud
- Réaliser l’inventaire et faire le rapprochement entre les licences installées, acquises et utilisées dans le Cloud
Conclusion de la formation Cloud Computing