Formation Cloud Computing – Gouvernance et sécurité

Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)
La problématique de la protection anti-malware dans une infrastructure virtualisée
Les risques liés aux vulnérabilités, aux API et aux logiciels (Openstack, Docker, VmWare…)

Les accès sécurisés via Ipsec, VPN, https et SSH
Les solutions spécifiques d’accès au Cloud (Intercloud, AWS Direct connect…)
Les solutions CASB (Cloud Access Security Broker)
Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs

Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing
Les douze principales menaces identifiées dans le Cloud
Le framework OCF et l’annuaire STAR (Security, Trust & Assurance Registry)
Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge)

Comment contrôler la sécurité dans le Cloud : audit, test d’intrusion, qualification, certification ?
Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?
Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?
Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?

Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité…)
Les clauses de réversibilité (amont & val) pour ne pas se faire piéger par un fournisseur
La clause d’audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
L’importance de la localisation des données et de la juridiction retenue
Les accords de service dans le Cloud (SLA)
Pénalités et indemnités : bien comprendre les différences

Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
La nationalité du fournisseur et la localisation des Datacenters
Le cadre juridique des données à caractère personnel (Directive 95/46 CE, GDPR, CCT, BCR…)
Après l’annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
Le point sur l’USA Patriot Act. Menace-t-il les données dans le Cloud à l’extérieur des USA ?
Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016)
Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données, etc.)

Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?
Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence)
Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud
Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?
La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix

Comprendre pourquoi la gestion des licences est plus complexe dans le Cloud
Comment assurer la conformité ?
Les limites des outils de gestion des actifs logiciels (Software Asset Management) dans le Cloud
Réaliser l’inventaire et faire le rapprochement entre les licences installées, acquises et utilisées dans le Cloud