La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Www.enisa.europa. eu CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES DONNÉES Dr Giles Hogben European Network and Information Security Agency.

Présentations similaires


Présentation au sujet: "Www.enisa.europa. eu CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES DONNÉES Dr Giles Hogben European Network and Information Security Agency."— Transcription de la présentation:

1 eu CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES DONNÉES Dr Giles Hogben European Network and Information Security Agency (ENISA) Agence européenne chargée de la sécurité des réseaux et de l'information

2 eu Objectifs de lENISA dans le domaine de Cloud Computing 2 Aider le secteur privé et les pouvoirs publics à bénéficier des avantages du Cloud Computing en matière de coûts Maintenir la disponibilité du service, la confidentialité et lintégrité des données, le respect de la vie privée.

3 eu Cloud Computing: avantages, risques et recommandations pour la sécurité de linformation 3

4 eu Click to edit Master subtitle style 4 Avantages en matière de sécurité

5 eu Économies déchelle

6 eu Économies déchelle et sécurité Plusieurs mesures de sécurité sont moins coûteuses lorsquelles sont mises en œuvre à une plus grande échelle (par exemple filtrage, réponse aux incidents, gestion des patchs, durcissement des machines etc.) Pour un investissement égal en matière de sécurité, la protection est meilleure Quand même le marché nest encore prêt pour les applications de haute assurance.

7 eu Les Risques

8 eu Resources de très grande valeur: La plupart des risques ne sont pas nouveaux, mais la valeur des resources quils affectent est plus élevée Le personnel doit être dignes de confiance Les interfaces de gestion constituent des cibles tentantes

9 eu Perte de gouvernance: Le client cède le contrôle au fournisseur pour plusieurs questions relatives à la sécurité: les tests de pénétration externes ne sont pas autorisés les journaux (logs) disponibles sont très limités en général, aucun service d'investigation numérique (forensics)

10 eu Difficulté de changer fournisseur (vendor lock-in) Peu doutils, de procédures ou de formats standards pouvant garantir la portabilité des données et des services Difficile de passer dun fournisseur à un autre, ou de récupérer les données

11 eu Répartition peu claire des responsabilités « Appirio Cloud Storage crypte totalement chaque donnée envoyée par un ordinateur pour être stockée sur Amazon S3. Une fois stockées, les données sont protégées par les mêmes mécanismes de sécurité de haute qualite qui protègent des milliers dutilisateurs des services dAmazon » (Merci à Craig Balding, de cloudsecurity.org, pour cette information)

12 eu Amazon Web Services – Conditions dutilisation: «LAPPLICATION DES MESURES DE SÉCURITÉ NÉCESSAIRES POUR PROTÉGER VOS DONNÉES, Y COMPRIS LE CRYPTAGE DES DONNÉES SENSIBLES, RELÈVE DE VOTRE SEULE RESPONSABILITÉ.» «Vous êtes personnellement responsable de toutes les applications exécutées sur des instances que vous démarrez sur Amazon EC2, ainsi que de la totalité du trafic en entrée et en sortie de ces instances. Il vous incombe dès lors de protéger vos mots de passe, noms dutilisateur et autres codes didentification. Vous serez responsable de toutes les activités effectuées sous votre compte.»

13 eu l'Échec des mécanismes d'isolement Stockage (par exemple attaques par canal auxiliaire), voir Pôles dentropie (http://bit.ly/41sIiN) Utilisation des ressources (par exemple largeur de bande)

14 eu Chiffrement: les données doivent être traitées en texte clair (pour la plupart des opérations) => Pour faire quelque chose dutile avec le Cloud Computing, il faut faire confiance au fournisseur de services cloud Customer Cloud

15 eu Risques juridiques et contractuels Données dans de multiples juridictions, certaines pouvant être à risque Dans certains cas, lutilisation du Cloud Computing empêche datteindre certaines normes de conformité Risques pour le respect de la directive européenne sur la protection des données Potentiellement difficile pour le client (responsable du traitement) de vérifier les pratiques de traitement des données du fournisseur Ce problème est exacerbé dans le cas de transferts multiples de données Injonction et e-découverte Propriété intellectuelle

16 eu Common Assurance Maturity Model (Modèle commun pour mesurer la maturité de lassurance) Une base minimale pour: comparer les offres de services cloud évaluer les risques liés à la transition vers le Cloud Computing réduire la charge daudit et les risques pour la sécurité

17 eu Click to edit Master subtitle style Les pouvoirs publics et le Cloud Computing 17 UKUK DKDK USA Singapore Japan Australia Dans le monde entier, des agences gouvernementales et des organisations publiques adoptent le Cloud Computing pour des applications non critiques Certains pays (par exemple la Corée) vont jusquà fournir eux- memes de linfrastructure de type cloud comme une plate-forme dinnovation...

18 eu Click to edit Master subtitle style – aider les pouvoirs publics européens à evaluer le Cloud Computing Objectifs de lENISA: analyser et évaluer les incidences du Cloud Computing sur la résilience et la sécurité des services publics offrir des recommandations et des bonnes pratiques aux États membres de lUnion européenne envisageant qui pensent de passer au Cloud Computing

19 eu Conclusions Le Cloud Computing peut représenter une amélioration de la sécurité pour les applications et données non critiques La transparence est cruciale: les clients doivent pouvoir évaluer et comparer les pratiques des fournisseurs en matière de sécurité De nombreux efforts sont encore nécessaires pour obtenir des niveaux de sécurité meilleurs dans le Cloud Computing Pour une fois, nous pouvons intégrer la sécurité dès le départ, ne laissons pas passer cette occasion Cloud Computing: avantages, risques et recommandations pour la sécurité de linformation 2009

20 eu Dr Giles Hogben Secure Services Programme Manager European Network and Information Security Agency Contact


Télécharger ppt "Www.enisa.europa. eu CLOUD COMPUTING: RISQUES ET AVANTAGES POUR LA SÉCURITÉ DES DONNÉES Dr Giles Hogben European Network and Information Security Agency."

Présentations similaires


Annonces Google