palais des congrès Paris

7, 8 et 9 février 2012

Cloud & SécuritéQuels risques et quelles sont les questions importantes à se poser avant de migrer vers le Cloud ?Code Session : SEC2202Jean-Yves GRASSETArchitecte Technique et SécuritéDirection Technique et SécuritéMicrosoft France

Christophe VALLEEBOS Solution ArchitectOffice 365 Customer ExperienceMicrosoft Corporation

Le Cloud selon le NIST6 questions pour décider ?ENISA-Cloud Security AllianceLes huit risques majeurs selon l’ENISALa Cloud Controls Matrix de la Cloud Security AllianceIntérêt de la certification ISO 27001En plus de la matrice CCM-CSAUne illustration : Office 365Recommandations

Sommaire

Le Cloud selon le NIST*

Source : Visual Model of NIST Working Definition of Cloud Computing

(*)National Institute of Standards and Technologies

1. Quelles données seront stockées dans le Cloud ?2. Incluront-elles des données personnelles non-chiffrées ?3. Où seront stockées ces données, et le client aura-t-il un contrôle sur

l’endroit de stockage ?4. Qui sera autorisé à accéder aux données, et de quels droits d’accès

disposera le fournisseur de service sur les données (ou les méta-données relatives aux données stockées) ?

5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à

faire au regard de l’accès aux données, leur conservation, protection et sécurité ?

Jeu : 6 questions pour décider ?

http://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-492577/

Classification

Protection des données relatives à la vie privée

Respect des contraintes réglementaires

1. Quelles données seront stockées dans le Cloud ?2. Incluront-elles des données personnelles non-chiffrées ?3. Où seront stockées ces données, et le client aura-t-il un contrôle sur

l’endroit de stockage ?4. Qui sera autorisé à accéder aux données, et de quels droits d’accès

disposera le fournisseur de service sur les données (ou les méta-données relatives aux données stockées) ?

5. Quand et dans quel format les données seront-elles retournées au client ?6. Quels engagements significatifs le fournisseur de service est-il prêt à

faire au regard de l’accès aux données, leur conservation, protection et sécurité ?

Jeu : 6 questions pour décider ?

Milton L. Petersen is an attorney whose practice focuses exclusively on information technology-related transactions and issueshttp://www.cioinsight.com/c/a/Expert-Voices/Cloud-Computing-Legal-Risks-Every-CIO-Should-Know-492577/

Contrôle d’accès, délégation, définition des droits

Réversibilité

Engagements contractuels sur la protection des données

Deux organisations de référence

https://cloudsecurityalliance.org/ http://www.enisa.europa.eu/

Deux documents incontournableshttps://cloudsecurityalliance.org/guidance/

csaguide.v3.0.pdf

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

Focus sur les 8 risques considérés comme les plus critiques selon la matriceMéthode de classification des risques ISO/IEC 27005:2008

Les risques selon ENISA

Source : Cloud Computing, Benefits risks and recommendations for information security (ENISA)

Les 8 risques majeurs

Risques LégauxR.22 : RISQUES LIES AUX CHANGEMENTS DE JURIDICTIONSR.23 : RISQUES LIES A LA PROTECTION DES DONNEES

Risques TechniquesR.9 : DEFAUT D’ISOLATIONR.10 : UTILISATION MALICIEUSE INTERNE AU FOURNISSEURR.11 : COMPROMISSION DE L’INTERFACE DE GESTION R.14 : INEFFICACITE DE LA SUPPRESSION DES DONNEES

Risques non-spécifiques au CloudR.26 : ADMINISTRATION RESEAU

Risques politiques et organisationnelsR.2 : PERTE DE GOUVERNANCER.3 : DEFIS LIES A LA CONFORMITE

Mauvaise organisation de la sécurité chez le fournisseurSéparation des fonctions et droit d'accès minimal

R.2 Perte de gouvernanceImplémentation sécurité

Réversibilité

Verrouillage fournisseur par adhérences non connuesVerrouillage fournisseur par technologies non standardsProtection contre cessation d’activité du fournisseur Cloud

Perte de contrôle

Impossibilité de mener des tests de vulnérabilité

Maturité client Rôle et responsabilités client

Contrat Conflit de clauses de SLA

La Cloud Controls Matrix CSA

Juridique

Conformité

Gestion des opérations

Ressources humaines

Continuité de l’activité

Sécurité de l’information

Sécurité des installations

Gouvernance des données

Gestion du risque

Gestion du changement

Architecture de sécurité

La Cloud Controls Matrix CSA

Conformité Ressources humaines

Sécurité des installations

Gouvernance des données

• Audits par des organismes indépendants du fournisseur Cloud

• Audit des fournisseurs tiers• Respect des exigences légales

et réglementaires

• Propriété, classification• Manipulation-étiquetage• Politique de conservation,

mise au rebut• Fuite d’information• Evaluation des risques liés à la

gouvernance• Contrôle d’accès aux

bâtiments et actifs physiques• Protection périmétrique• Autorisation de transfert hors-

locaux• Inventaire des actifs

• Sélection des personnels• Vérification des antécédents• Responsabilité sécurité dans

contrat de travail• Procédures de fin de contrat

La Cloud Controls Matrix CSA

Juridique

Conformité Ressources humaines

Sécurité de l’information

Sécurité des installations

Gouvernance des données

• Mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI)

• Implication du management• Politique de sécurité et réexamen régulier• Gestion et vérification des accès utilisateurs• Séparation des fonctions• Chiffrement des informations sensibles et

protection des clés• Gestion des vulnérabilités et des correctifs• Gestion des incidents• Sécurité des services réseau• Restriction d’accès aux utilitaires

• Accords de confidentialité• Accords conclus avec des tiers

La Cloud Controls Matrix CSA

Juridique

Conformité

Gestion des opérations

Ressources humaines

Sécurité de l’information

Sécurité des installations

Gouvernance des données

Gestion du risque

• Définition des politiques et procédures• Documentations• Planification du dimensionnement des

ressources• Maintenance du matériel

• Elaboration et maintien d’un cadre de gestion du risque

• Evaluations des risques à intervalles réguliers• Processus d’atténuation/acceptation• Prise en compte des résultats dans les politiques,

procédures, normes et contrôles• Gestion de l’accès des tiers

La Cloud Controls Matrix CSA

Juridique

Conformité

Gestion des opérations

Ressources humaines

Continuité de l’activité

Sécurité de l’information

Sécurité des installations

Gouvernance des données

Gestion du risque

Gestion du changement

Architecture de sécurité

• Développement, acquisition (logiciels, infrastructures…)

• Documentation, test et approbation des changements• Test de qualité• Restriction d’installation des logiciels non autorisés

• Programme de gestion de la continuité d’activité• Définition du PCA et tests à intervalles réguliers• Protection contre les menaces extérieures et

environnementales• Redondance électrique et communication

• Vérification des exigences contractuelles et réglementaires

• Sécurité de l’accès au service, authentification utilisateur

• Garantie d’intégrité des données• Sécurité dans le développement des applications• Séparation des environnements

production/hors-production• Segmentation• Journalisation des accès• Sécurité des réseaux partagés

ISO 27001 : Référence pour la description des Systèmes de Management de la sécurité des Systèmes d’Information (SMSI)

Associé à ISO 27002 : description des bonnes pratiques

Intérêt de la certification ISO 27001

Importance du périmètreDatacenter + service

Couverture de la matrice de contrôles CSA

En plus de la matrice CCM-CSA

Réversibilité

• Récupération des données

• Suppression des adhérences

• Coût

Maturité client

• Classification des données

• Choix du modèle de déploiement

• Mise en correspondance des politiques de sécurité

• Formation équipe client au Cloud (y compris juristes)

• Programme de gestion de risque et de conformité

• Gestion des identités et des droits d’accès

Aspects contractuels

• Service Level Agreement

• Conditions de sortie• Pénalités

(indisponibilité, fuite d’information)

• Réponse aux assignations

Intégration existant

• Support de la fédération d’identité (standards)

• Synchronisation des identités

• Support multi-fournisseurs

Respect vie privée

• Détermination des données privées

• Respect des contraintes réglementaires par le fournisseur

• Transfert entre juridictions

Illustration : Office 365

Office 365 Enterprise Decision Framework

Decision Points & Conversations

Customer Stakeholders

Customer Questions Answered & Decisions Made

Capability & Technical Fit

IT What is BPOS? What is Office 365? How will these solutions work in my environment? Why, when and how should I transition to Office 365? How do I get ready?

Legal & Compliance Legal & Procurement What are the risks and legal / regulatory considerations?

Security, Privacy, Data Sovereignty

CSO,Legal

Is my data secure and private? Where will it be located?How does this solution comply with local regulations?

Business Value LOB Groups, CIO, CFO What is the specific shareholder value from this project?

Governance CIO & key stakeholders Who in my organization will own key decisions cloud strategy and BPOS / Office 365 specifically? How can I ensure all stakeholder needs are met, buy-in is achieved?

TransactionProcurement

& FinanceHow do I buy the solution? How do I get a deal that is advantageous to our shareholders? Why would I be interested in the updated EA (EA Amendment)?

Services & Support

ITWhat deployment consulting services do I need? How do I prepare for the migration? How do I migrate?Which support offerings underpin Office 365/BPOS?

Partners IT Which partner can / should / will provide services needed? What is the partner’s role?

Connecting Framework to Certifications

COMPLIANCE MANAGEMENT

INFORMATION SECURITY POLICY

SERVICE CONTINUITY

PRIVACY AND REGULATORYSECURITY

Office 365 Certifications: ISO27001SAS70 Type II / SSAE16 SOC 1 type IEU Safe Harbor FrameworkFISMAEU Model Clauses

Audits and certifications against

framework

Continual improvement of

framework

Privacy refers to the different laws and regulations applicable to the protection of Personal Data.

 Personal data' shall mean any information relating to an identified or identifiable natural person; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity (source: EU Directive 95/46/EC)

What is Privacy ?

The European Union, through the EU Data Protection Directive, has stricter privacy rules than the U.S. and most other countries. To enforce these rules, the EU generally prohibits personal data from crossing borders into other countries except under circumstances in which the transfer has been legitimated by a recognized mechanism, such as the "Safe Harbor" certification described below.

To allow for the continual flow of information required by international business, the European Commission reached agreement with the U.S. Department of Commerce, whereby U.S. organizations can self-certify as complying with the Safe Harbor principles, which track loosely to the requirements of the Directive.

For a business to legally transfer data from the EU to the U.S., the U.S. company or other organization must publicly certify that it will comply with Safe Harbor principles, which align to the EU's privacy rules. Microsoft Online Services can transfer data from the EU to the U.S. for processing because Microsoft is Safe Harbor certified.

Customers are encouraged to review the principles of the certification though the following link, along with Microsoft's certification on the Department of Commerce website: Safe Harbor Framework and Certification.

Why EU Safe Harbor ?

Why EU Model Clauses ?

CNIL: Loi du 6/1/78, MAJ le 6/8/2006 (Directive EU: 95/46/CE)Microsoft commits on Model Clauses (« clauses contractuelles types » en Français) qui fournit un niveau adéquat de protection des données personnelles.

For more information, CNIL  provides many details about the Model Clauses on its website (extract below) : http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CNIL-transferts-CCT.pdf

Standard RFI and ISO Mapping

Standard from the Cloud Security Alliance (CSA)• The Cloud Security Alliance Cloud Controls

Matrix (CCM) is specifically designed to provide fundamental security principles to guide cloud vendors and to assist prospective cloud customers in assessing the overall security risk of a cloud provider.

Standard Response to Requests For Information • Specific details about Office 365 mapped to

the new standard to assess cloud providers.

• Mapping to Microsoft's ISO certification controls.

Standard Response to Request for Information – Security and privacy

Trust Center

Public website with FAQs. Microsoft's way of enabling customers to make the best and most informed decisions by providing the transparency they require.

Data Use Limits–List of activities in which we access

customer data–Assurance data is not used for other

commercial purposes such as advertising

Administrative Access–Explanation of types of data we track

access–How customer can attain the access

logs

Geographic Boundaries–Disclosure of customer data locations

based on “ship to” address

Security, Audits and Certifications

–Links to third party audits and certifications for Office 365 and Microsoft datacenter

Regulatory Compliance –Clarification on Microsoft policy on

compliance–FAQ on major compliance

requirements

Tools to Understand Privacy and Security

–Explanation on how to get notified of security programs

–Handling of account management and billing information

–Link to Security and Privacy Supplement

*Third Parties–Listing of subcontractors used

Trust Center

Third PartiesListing of subcontractors

Privacy Statement: Office 365 Privacy and Security Supplement :http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31 Specific clause like : Online Services expiration or termination or suspension / Online Service Updates / Customer Data / Privacy …

Services Level Agreement :http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37

Contractual documents …

Ne vous fiez pas à un questionnaire en 6 points ;-)Evaluez le fournisseur en fonction des contrôles de la matrice de la Cloud Security Alliance

Voir exemple Office 365

ISO 27001 constitue une première garantie sur une prise en compte sérieuse de la sécurité par le fournisseurD’autres sujets sont à traiter comme la maturité du client pour être « Cloud ready »Assister à la session « Cloud & Sécurité : une approche pragmatique pour les RSSI (SEC2203) » ;-)

Recommandations

Guide ENISAhttp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

Guide CSAhttps://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf

Cloud Controls Matrix CSAhttps://cloudsecurityalliance.org/

Data Governance - Moving to Cloud Computing (Microsoft White Paper/ Trustworthy Computing) http://

www.microsoft.com/download/en/details.aspx?amp;amp;displaylang=en&id=6098

Livre « Securing the Cloud » de Vic Winkler chez Syngress

Références

Standard Response to Request for Information – Security and privacyMicrosoft EU Safe Harbor Certification : http://go.microsoft.com/fwlink/?LinkId=213081&clcid=0x409Microsoft Trust Center : http://www.microsoft.com/online/legal/v2/?docid=21&langid=en-us

Références Office 365

Microsoft France39, quai du président Roosevelt

92130 Issy-Les-Moulineaux

www.microsoft.com/france