La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

2 9 février 2011 Bernard Ourghanlian CTO, CSO & DPE Lead Microsoft France RDI201.

Présentations similaires


Présentation au sujet: "2 9 février 2011 Bernard Ourghanlian CTO, CSO & DPE Lead Microsoft France RDI201."— Transcription de la présentation:

1

2 2 9 février 2011 Bernard Ourghanlian CTO, CSO & DPE Lead Microsoft France RDI201

3 3 Cloud Computing et sécurité : un frein majeur à ladoption Sécurité dans le Cloud Généralités par le National Institute of Standard for Technology (NIST) Recommandations de la Cloud Security Alliance (CSA) Lexpérience dIntel En guise de conclusion Annexes (non traitées ici) Recommandations de la European Network and Information Security Agency (ENISA) Le Graal de la sécurité dans le Cloud : le chiffrement… « Le nuage est une promesse : la pluie une promesse tenue » Proverbe arabe

4 4 QUEST-CE QUE LE CLOUD COMPUTING ?

5 5 5 caractéristiques 3 modèles de service 4 modèles de déploiement Sources : Burton Group et NIST

6 6 5 caractéristiques clés Large accès réseau Mise en commun des ressources Nimporte où / Tout terminal Libre service à la demande La location prend quelques minutes 1 2 = Préservation des ressources Service mesuré 3 Elasticité rapide Jan Fév Mar …… Déc × × Jan = $ ( ( ) ) $ Location de nimporte quelle quantité 4 5 off on Réduit les coûts Source : NIST

7 7 Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Exemples Office 365, Google Apps, Salesforce.com... Microsoft Azure, Force.com, Google App Engine… Microsoft Azure, EC2, hébergeurs de systèmes, fournisseurs de machines virtuelles A construire soi-même

8 8 Private Cloud Propriété (ou location) de lentreprise – mono-locataire Interne ou externe Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à nimporte quelle catégorie dacheteur – multi-locataire Linfrastructure est généralement la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités Source : NIST

9 9 Le Cloud Computing tire souvent parti de : Passage massif à léchelle Homogénéité Virtualisation Informatique résiliente Logiciel bas coût Distribution géographique Orientation service Technologies de sécurité avancées Source : NIST

10 10 CommunityCloud Private Cloud Public Cloud Hybrid Clouds Modèles de déploiement Modèles de service Caractéristiques essentielles Caractéristiques communes Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Mise en commun ressources Large accès réseauElasticité rapide Service mesuré Libre service à la demande Logiciel bas coût VirtualisationOrientation Service Sécurité avancée Homogénéité Passage à léchelleInformatique résiliente Distribution géographique

11 11 Votre propre Datacenter Votre propre Datacenter Le Datacenter de quelquun dautre Héberger (logiciels, base de données, etc.) Utiliser (services, informations, etc.) Construire (applications, données, etc.)

12 12 Cloud Privé Cloud Public Infrastructure (as-a-service) Software (as-a-service) Platform (as-a-service) Dédié Cloud Hybride Catégories de Services Types de Cloud

13 13 (Chez vous) Infrastructure (as a Service) Platform (as a Service) Quest-ce que le Cloud Computing ? Catégories de Service Stockage Serveurs Réseau OS Middleware Virtualisation Données Applications Runtime Stockage Serveurs Réseau OS Middleware Virtualisation Données Applications Runtime Vous gérez Géré par le fournisseur Vous gérez Stockage Serveurs Réseau OS Middleware Virtualisation Applications Runtime Données Software (as a Service) Géré par le fournisseur Stockage Serveurs Réseau OS Middleware Virtualisation Applications Runtime Données

14 14 CLOUD COMPUTING ET SÉCURITÉ : UN FREIN MAJEUR À LADOPTION

15 15

16 16 « Top 10 Obstacles and Opportunities » ObstacleOpportunity 1Availability of ServiceUse Multiple Cloud Providers; Use Elasticity to Prevent DDOS 2Data Lock-InStandardized APIs; Compatible Software to Enable Surge Computing 3Data Confidentiality and Auditability Deploy Encryption, VLANs, Firewalls; Geographical Data Storage 4Data Transfer BottlenecksFedExing Disks; Data Backup/Archival; Higher Bandwidth Switches 5Performance UnpredictabilityImproved VM Support; Flash Memory; Gang Scheduling VMs 6Scalable StorageInvent Scalable Store 7Bugs in Large Distributed SystemsInvent Debugger that Relies on Dist VMs 8Scaling quicklyAuto-Scaler; Snaphots for Conservation 9Reputation Fate SharingReputation Guarding Services 10Software LicensingPay-for-Use Licenses; Bulk Use Sales

17 17 Sécurité : un inhibiteur pour aller vers le Cloud Source: Enterprise And SMB Hardware Survey, North America And Europe, Q3 2009, Forrester Research

18 18 Sécurité des données, intégrité des systèmes et disponibilité sont des questions clés Source: Enterprise And SMB Hardware Survey, North America And Europe, Q3 2009, Forrester Research

19 19 CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ DANS LE CLOUD

20 20 Quelques problèmes clés : Confiance, multi-location, chiffrement, conformité Les Clouds sont des systèmes massivement complexes qui peuvent se réduire à de simples primitives qui sont répliquées des milliers de fois et à des unités fonctionnelles communes La sécurité du Cloud est donc, en théorie, un problème facile à aborder En fait, il y a à la fois des avantages à lutilisation du Cloud mais aussi des défis à relever

21 21 Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à nimporte quel moment ? Quarrivera-t-il si nous arrêtons notre contrat ? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles (loi française en préparation) Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ?

22 22 Données Applications Machine Virtuelle Serveur Stockage Réseau Informatique Données Applications Machine Virtuelle Serveur Stockage Réseau Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public Lentreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle

23 23 Les questions de sécurité qui sont impliquées quand il sagit de protéger les Clouds des menaces de lextérieur sont semblables à celles auxquelles doivent faire face les gros Datacenters, excepté le fait que la responsabilité est partagée entre lutilisateur du Cloud et lopérateur du Cloud (The Jericho Forum cloud cube model) Lutilisateur du Cloud Sécurité applicative Le fournisseur du Cloud Sécurité physique Sécurité réseau, politique de sécurité sur les pare-feu externes Partagé entre lutilisateur et le fournisseur La sécurité pour les couches intermédiaires de la pile logicielle Plus bas est le niveau dabstraction exposé à lutilisateur, plus il y a de responsabilité qui va avec…

24 24 SÉCURITÉ DANS LE CLOUD : LA VUE DU NIST

25 25 NIST (source Wikipedia) Le National Institute of Standards and Technology est une agence du Département du Commerce des États- Unis Son but est de promouvoir l'économie en développant des technologies, la métrologie et des standards de concert avec l'industrie Cette agence a pris la suite en 1988 du National Bureau of Standards, fondé en 1901 avec substantiellement les mêmes missions Sources dinformations utilisées : « Guidelines on Security and Privacy in Public Cloud Computing » (SP ) Publié le 2 février 2011

26 26 SLA non négociables Les accords non négociables sont, par de nombreuses façons, à la base des économies déchelle que lon peut trouver dans le Cloud Non seulement, les termes du service sont entièrement définis par le fournisseur de Cloud mais, avec certaines offres, le fournisseur peut aussi modifier les termes du contrat de manière unilatérale sans donner directement de notification au souscripteur (mis à jour dune version en ligne) SLA négociables Assez proches des contrats traditionnels doutsourcing Ils peuvent être utilisés pour répondre aux préoccupations des organisations concernant les politiques de sécurité et de respect de la vie privée, les procédures et les contrôles techniques, la propriété des données, les droits de sortie, lisolation des applications en environnement de multi- location, le chiffrement et la ségrégation des données, lefficacité des services de reporting, la conformité avec les lois et les règlements

27 27 Spécialisation du personnel Forces de la plateforme Une plus grande uniformité et homogénéité facilitent le durcissement plate-forme et permettent une meilleure automatisation des activités de gestion de la sécurité telles que le contrôle de configuration, les tests de vulnérabilité, les audits de sécurité et lapplication des correctifs de sécurité des composants de la plateforme

28 28 Disponibilité de la plateforme L'évolutivité des installations de Cloud Computing permet une plus grande disponibilité Redondance et reprise en cas de catastrophe sont intégrées en standard dans les environnements informatiques du Cloud et la capacité des ressources disponibles à la demande peuvent être utilisés pour une meilleure résilience face à une augmentation de la demande de services ou à des attaques par déni de service ainsi que pour une récupération plus rapide lors d'incidents graves

29 29 Sauvegarde et récupération Les politiques de sauvegarde et de récupération et les procédures au sein dun service de Cloud Computing peuvent être supérieures en qualité et en efficacité à celles de l'organisation et, si des copies sont conservées dans divers lieux géographiques, elles peuvent être plus robustes Les données maintenues dans un nuage peuvent être plus disponibles, plus rapides à restaurer et plus fiables dans de nombreuses circonstances que lorsquelles sont maintenues dans un centre de données traditionnel

30 30 Points de terminaison mobiles L'architecture d'une solution en nuage s'étend aussi au client qui est utilisé pour accéder à des applications hébergées dans le Cloud Les clients du Cloud peuvent être basés sur un navigateur ou sur des applications Dans la mesure où les principales ressources de calcul nécessaires sont détenues par le fournisseur de Cloud, les clients sont généralement légers, les moyens de calcul pouvant être pris en charge sur des ordinateurs portables, des netbooks, ainsi que sur des systèmes embarqués comme les téléphones intelligents, ou des assistants numériques personnels

31 31 Concentration de données Les données conservées et traitées dans le nuage peuvent présenter moins de risques pour une organisation si celle-ci dispose dune majorité de ses collaborateurs en situation de mobilité avec des données dispersées sur des ordinateurs portables ou des supports amovibles sur le terrain, où le vol et la perte de dispositifs peuvent régulièrement se produire

32 32 Complexité du système Un environnement de Cloud public est extrêmement complexe comparé à celui d'un centre de données traditionnel De nombreux composants sont utilisés, ce qui se traduit par une surface d'attaque importante La sécurité dépend non seulement de lexactitude et lefficacité de nombreux composants, mais également des interactions entre eux : le nombre dinteractions possibles entre les composants augmente comme le carré du nombre de composants, ce qui pousse le niveau de complexité à la hausse

33 33 Partage de lenvironnement entre des locataires multiples Les services de Cloud Computing publics proposés par les fournisseurs présentent une complication sous- jacente significative dans la mesure où les composants et les ressources sont généralement partagés avec d'autres abonnés qui leur sont inconnus Même si elle nest pas unique au Cloud, la séparation logique est un problème non-trivial qui est exacerbé par léchelle du Cloud Laccès aux données organisationnelles et aux ressources dune organisation pourrait, par inadvertance, être exposé à d'autres abonnés à cause dune erreur de configuration ou de logiciel

34 34 Services exposés à lInternet Les services de Cloud Computing public sont fournis à travers linternet, ce qui expose les interfaces administratives utilisées pour administrer les comptes en self-service ainsi que les interfaces permettant aux utilisateurs et aux applications d'accéder aux autres services disponibles Les applications et les données qui ont été déjà accessibles dans les limites de lintranet d'une organisation, mais ont maintenant déménagé dans le nuage, doivent maintenant faire face un risque accru sur le réseau, sous la forme de menaces contre lesquelles lorganisation avait précédemment fait face au sein du périmètre de l'intranet

35 35 Perte de contrôle Bien que les préoccupations de sécurité et de confidentialité des services au sein du Cloud Computing sont semblables à ceux des services non-Cloud traditionnels, celles-ci sont amplifiées par le fait que le patrimoine de l'organisation est maintenant accessible de lextérieur avec un potentiel de la mauvaise gestion de ces actifs La migration vers un nuage public exige un transfert de contrôle déléments d'information et de briques système vers le fournisseur de Cloud qui relevaient précédemment du contrôle direct de l'organisation La perte de contrôle sur les aspects physiques et logiques du système et des données diminue la capacité des organisations à maintenir un bon niveau de conscience de la situation afin de pouvoir peser les alternatives, fixer les priorités et effectuer les changements de la sécurité et de la protection des informations personnelles afin de préserver lintérêt de l'organisation

36 36 Gouvernance La gouvernance implique le contrôle et la surveillance sur les politiques, procédures et normes pour le développement d'applications, ainsi que la conception, la mise en œuvre, les tests et le suivi des déploiement des services Avec la large disponibilité des services en nuage, le manque de contrôle de lorganisation sur les employés du fournisseur de ces services peut être une source de problèmes Alors que le Cloud Computing simplifie l'acquisition plate- forme, il n'atténue pas la nécessité de la gouvernance ; au contraire, il a l'effet inverse, une amplification de ce besoin

37 37 Conformité Le respect de la conformité implique le respect dun cahier des charges établi, de normes, de règlements ou de la loi en vigueur Localisation des données Lorsque les données franchissent les frontières, le régime juridique gouvernant la sécurité, le respect de la vie privée et, dune manière générale, les régimes réglementaires applicables peuvent être ambigus et créer toute une série de préoccupations Voir

38 38 Lois et réglements Respect des lois et des directives de la CNIL Electronic Discovery Implique l'identification, la collecte, le traitement, l'analyse et la production de documents électroniques dans la phase denquête en cas de litiges Les organisations ont également des obligations de préservation des documents électroniques afin de se conformer aux réquisitions lors denquêtes judiciaires Ceci comprend non seulement le courrier électronique, les pièces jointes et les données stockés sur un système informatique ou les supports de stockage, mais aussi toute métadonnée associée, telles que les dates de création de lobjet ou de modification

39 39 Confiance Accès par les employés ou sous-traitants du fournisseur Les données traitées ou stockées en dehors des limites d'une organisation, de ses pare-feu, et dautres contrôles comportent un niveau de risque inhérent à laccès potentiel par les employés ou les sous-traitants du fournisseur Propriété des données Les droits de propriété de l'organisation sur les données doivent être clairement établis dans le contrat de service pour permettre létablissement dune base de confiance claire

40 40 Services Composites Les services en nuage eux-mêmes peuvent être composés par composition avec d'autres services de Cloud Computing ; par exemple, un fournisseur SaaS pourrait construire ses services à partir des services d 'un nuage PaaS ou IaaS Le niveau de disponibilité du SaaS nuages dépendra donc de la disponibilité de ces services Les services de Cloud qui utilisent des fournisseurs de service tiers afin d'externaliser ou sous-traiter certains de leurs services devraient augmenter votre vigilance pour tout ce qui concerne la portée du contrôle sur le tiers, les responsabilités en cause, et les voies de recours et les recours disponibles en cas de problème La confiance est souvent non transitive, ce qui exige que les accords avec des tiers soit communiqués à l'avance en toute transparence et que les termes de ces arrangements soient maintenu tout au long du contrat de service ou soient soumis à notification du client

41 41 Visibilité La migration vers des services de Cloud Public implique labandon du contrôle au fournisseur de Cloud pour ce qui concerne la sécurisation des systèmes sur lesquels les données de l'organisation et les applications sexécutent La gestion, les procédures et les contrôles techniques utilisés dans les nuages doivent être au même niveau que ceux utilisés pour les systèmes internes ou les dépasser, pour éviter de créer des lacunes dans la sécurité La transparence dans la façon dont le fournisseur de nuage fonctionne est un ingrédient essentiel permettre davoir une vue sur la façon dont sont assurés la sécurité du système et le respect de la vie privée Pour s'assurer que les politiques et procédures sont appliquées tout au long du cycle de vie des systèmes, les contrats de service devraient inclure des moyens pour gagner en visibilité sur les contrôles de sécurité et des processus employés par un prestataire de service en Cloud avec un suivi de leurs performances au fil du temps

42 42 Gestion des risques Avec les services de Cloud Computing, certains sous- systèmes ou le système entier sont hors du contrôle direct de lorganisation signataire du contrat de service Évaluer et gérer des risques dans des systèmes qui utilisent des services de Cloud Computing peut être un défi Dans la mesure du possible, lorganisation doit sassurer que les contrôles de sécurité sont mis en œuvre correctement, fonctionnent comme prévu, et répondent aux exigences de sécurité de lorganisation

43 43 Avantages Spécialisation du personnel Forces de la plateforme Disponibilité de la plateforme Sauvegarde et récupération Points de terminaison mobiles Concentration de données Inconvénients Complexité du système Partage de lenvironnement entre des locataires multiples, isolation Services exposés à lInternet Perte de contrôle

44 44 Avantages Spécialisation du personnel Forces de la plateforme Disponibilité de la plateforme Sauvegarde et récupération Points de terminaison mobiles Concentration de données Inconvénients Complexité du système Partage de lenvironnement entre des locataires multiples, isolation Services exposés à lInternet Perte de contrôle Les questions à résoudre Gouvernance Conformité, localisation des données, respect des lois et réglements, electronic discovery Confiance, accès par les employés ou sous-traitants du fournisseur, propriété des données Services composites Visibilité Gestion des risques Pour les états, leur souveraineté

45 45 CLOUD SECURITY ALLIANCE

46 46 Organisation globale sans but lucratif : We believe Cloud Computing has a robust future, we want to make it better To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.

47 47 Le CSA est rapidement devenu une force majeure de lindustrie et un défenseur des consommateurs et des utilisateurs Microsoft est sponsor de la Cloud Security Alliance Le papier initialement publié par la CSA consiste en un ensemble de positions et de réflexions dexperts de lindustrie Annoncé lors de RSA San Francisco en avril 2009 Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 Disponible depuis le 17 décembre 2009 en

48 48 Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework Section II. Governing in the Cloud Domain 2: Governance and Enterprise Risk Management Domain 3: Legal and Electronic Discovery Domain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability Section III. Operating in the Cloud Domain 7: Traditional Security, Business Continuity, and Disaster Recovery Domain 8: Data Center Operations Domain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization

49 49 1. Une partie des économies réalisées par le passage au Cloud Computing doit être investi en un examen minutieux du fournisseur 2. Transparence du fournisseur du Cloud 3. Viabilité financière du fournisseur du Cloud

50 50 1. Prévoir tout à la fois une fin normale et une fin imprévue de la relation avec votre fournisseur de Cloud et un retour de votre patrimoine informatique (clause de réversibilité) 2. Trouver les conflits entre les lois auxquelles le fournisseur de Cloud doit se soumettre et celles qui gouvernent le client du Cloud (éventuellement vous) 3. Acquérir une compréhension claire du rôle du fournisseur du Cloud et de ses réponses à des demandes légales dinformation (réquisitions)

51 51 1. Classifier les données et les systèmes pour comprendre les besoins en matière de conformité 2. Maintenir un droit daudit à la demande 3. Demander une certification complète et uniforme de lensemble de la solution (SAS 70 II, ISO 2700x)

52 52 1. Comprendre la ségrégation logique de linformation et les contrôles de protection qui sont implémentés 2. Lassurance concernant la rétention des données est facile à obtenir, celle concernant la destruction des données peut être plus difficile à obtenir 3. Comprendre les processus de retrait du stockage de masse utilisés par le fournisseur de Cloud 4. Recouvrer le véritable coût dune brèche : pénalités versus transfert de risque 5. Le fournisseur de Cloud peut-il supporter un archivage à long terme, les données seront-elles disponibles dans plusieurs années ?

53 53 1. Comprendre et implémenter des couches dabstraction 2. Pour une solution de type Platform as a Service (PaaS), il est nécessaire de suivre des principes architecturaux afin de minimiser les risques de se retrouver prisonnier du fournisseur Couplage lâche Orientation service et principes SOA 3. Comprendre quels sont les compétiteurs de vos fournisseurs de Cloud et quelles sont leurs capacités pour vous assister en cas de besoin de migration 4. Préconiser les standards ouverts

54 54 1. La principale crainte est celle de la menace interne 2. Les fournisseurs de Cloud doivent adopter comme niveau de référence les exigences les plus rigoureuses de chacun des clients 3. Il est essentiel de compartimenter les fonctions et les rôles et de limiter la connaissance des clients 4. Inspecter les plans de récupération en cas de désastre et de continuité du fournisseur de Cloud

55 55 1. Connaitre les autres clients du fournisseur de Cloud afin dévaluer leur impact éventuel sur vous 2. Comprendre comment se passe le partage de ressources au sein de lenvironnement de votre fournisseur de Cloud afin de comprendre son impact pendant les fluctuations de votre business 3. Pour les environnement de type IaaS et PaaS, les politiques et les procédures de patch management du fournisseur peuvent avoir un impact significatif 4. Larchitecture du fournisseur de Cloud peut avoir recours à des méthodes nouvelles ou non encore éprouvées de basculement

56 56 1. Toute donnée classifiée comme privée au sens de la réglementation en termes de perte de données (réglementation européenne, non encore retranscrite dans le droit français mais une proposition de loi est en cours) doit toujours être chiffrée afin de réduire les conséquences dun tel incident 2. Le fournisseur de Cloud doit fournir un cadre de journalisation au niveau applicatif afin de permettre lisolation dun incident donné à un client spécifique 3. Les fournisseurs de Cloud et les clients doivent définir un cadre de collaboration pour la réponse sur incident

57 57 1. Pour IaaS, il est nécessaire dutiliser des images virtuelles dignes de confiance 2. Appliquer les meilleures pratiques disponibles pour renforcer les systèmes hôtes et les machines virtuelles en DMZ 3. La sécurisation des communications entre les machines hôtes doit être la règle ; il ne peut y avoir aucun présupposé sur lexistence dun canal sécurisé entre les machines hôtes 4. Comprendre comment les acteurs malfaisants vont très probablement adapter leurs techniques aux plateformes du Cloud, grâce notamment à une augmentation des tests en boîte noire

58 58 1. Dans une perspective de gestion des risques, les données non chiffrées existant dans le Cloud pourraient être considérées comme « perdues » par le client 2. Utiliser le chiffrement pour séparer la détention des données de leur utilisation 3. Isoler la gestion des clés du fournisseur de Cloud hébergeant les données, afin de créer une chaine de séparation 4. Stipuler le standard de chiffrement dans le contrat

59 59 1. Il est nécessaire davoir une architecture et une stratégie robustes et fédérées de gestion didentité au sein de lorganisation 2. Insister sur le support des standards permettant la fédération : principalement SAML, WS-Federation et Liberty ID-FF 3. Considérer la mise en place dun Single Sign-on (SSO) pour les applications internes et tirer partie de cette architecture pour les applications dans le Cloud Pour cela une approche fondée sur les revendications didentité est très intéressante 4. Utiliser des fournisseurs de services de type « Identity as a Service » dans le Cloud peut vous fournir des moyens intéressant pour abstraire et gérer des complexités telles que des versions différentes de SAML, etc.

60 60 1. Les systèmes dexploitation virtualisés doivent être complémentés par des solutions de sécurité 2. La sécurité par défaut des configurations doit être assurée en suivant ou en dépassant les règles de base fixées par les meilleures pratiques de lindustrie 3. Il est nécessaire de disposer dune surveillance granulaire du trafic entre les MV 4. La provisionnement, laccès administrateur et le contrôle des systèmes dexploitation virtualisés est absolument crucial

61 61 Les métriques de sécurité spécifiques au Cloud sont, soit non existantes, soit au début de leur définition Puisque ces métriques sont spécifiques et que le Cloud est toujours en évolution, le groupe de travail du CSA en charge de la définition de ces métriques a établi un cycle de revues et de révisions Publication des métriques dans un format ouvert permettant les commentaires et lhistorique des révisions 3 des 13 domaines définis par le CSA Encryption & Key Management Governance & Enterprise Risk Management Application Security Plus dinformation en

62 62 Matrice dévaluation des risques associés à un fournisseur de Cloud Alignée sur les 13 domaines visés par le CSA Définie en relation étroite avec HITRUST CSF, ISO 27001/27002, ISACA COBIT, PCI et NIST

63 63 INTEL ET LA SÉCURITÉ DU CLOUD : RETOUR DEXPÉRIENCE STEPHAN HILBY, RESPONSABLE STRATÉGIE SERVEUR INTEL FRANCE

64 64 6,300 employés IT 56 sites 80,100 employés Intel 150 sites, 62 pays 91 Data Centers ~100,000 serveurs; 458,694 m² >110,000 périphériques >90K PCs (80%+ mobile), >20K smartphones

65 65 1, 2 Source: Intel IT internal data. September EDA MIPS (Electronic Design Automation - Meaningful Indicator of Performance per System) is a weighted performance measure 70% des servers chez Intel se retrouvent dans D. 30% des servers chez Intel se retrouvent dans O, M, et E Le Cloud va aider à accompagner cette forte croissance Design Conception & Design D Office Bureautique O Manufacturing Usines & assemblage M Enterprise E-biz + supply chain E

66 66 Adapté accès sécurisé et expérience optimum au travers de tous les moyens possibles Automatisé Allocation automatique des ressouces pour gérer les services et optimiser la consommation Fédéré Données et services en continu et dans la durée, avec un cloud sécurisé PC Ordinateur portable EmbarquéSmart phonesNetbooks Machines personnelles Télévisions

67 67 SaaS - software as a service, IaaS - infrastructure as a service, CRM - customer relationship management, VM - virtual machine Transition Internal: Intel Network Build/Grow Enterprise Private Cloud FuturActuellement Internal: Intel Network Hosting Platforms External: Internet Internal: Intel Network Office/Ent Dune architecture Cloud entièrement privée à une architecture Cloud hybride IaaS Caching SaaS Job Search Benefits/Stocks IaaS Caching SaaS Job Search Benefits/Stocks Sales IaaS Caching Back & Restore Client Image/VM Storage Manageability SaaS CRM Benefits/Stocks Job Search Sales Productivity Collaboration Legacy Environments Internal Clients Legacy Environments Internal Clients Evaluate Hybrid Clouds. Federated IaaS Legacy Environments Internal Clients External Clients Office/EntDesign Grid Office/Ent

68 68 StratégiesObjectifs Agilité Efficacité Securité Disponibilité Améliorer le temps de provisionnement (jours heures) avec un service à la demande Automatiser les workflows pour faciliter flexibilité & agilité Rationaliser les processus métiers via un portail de services à la demande Utilisation opportuniste de Clouds publics le cas échéant Accélérer la virtualisation pour favoriser un environnement multi-domaine Déployer de nouveaux serveurs pour améliorer lefficacité énergétique Favoriser une plus grande utilisation via des pools de ressources Quantifier les services tels que lutilisation, la santé & la capacité des VM Capitaliser sur les technologies de sécurité existantes & déjà mises en place Protéger lIP dIntel IP, les données & les processus business Fournir des accès sécurisés à des périphériques & utilisateurs authentifiés Haute disponibilité & résilience accrue pour tous les services IT Architecture de PRA efficace pour les applications critiques Adoption de technologies de pointe en matière de haute disponibilité pour les applications métiers les plus critiques

69 69 Aujourdhui Périmètre étendu à la mobilité Hier Protections traditionnelles Périmètre étendu aux personnes & aux données Demain Une évolution complète et mise en place par étapes De nouveaux impératifs requièrent de nouvelles approches en matière de Sécurité Nouveaux périphériques, nouveaux usages, nouvelles menaces, nouvelles infrastructures (Cloud Computing) Intel IT a adopté un nouveau modèle de Sécurité prenant en compte les personnes, les périphériques, les données & les emplacements

70 70 Intel AES-NI : Protection par chiffrement Internet Intranet Transactions sécurisées sur Internet &Intranet Chiffrement des informations & données Chiffrement au niveau applicatif permettant automatisation & granularité Name: J.Doe SS# Transactions sécurisées en interne & externe (fournisseurs…) Chiffrement des informations & données stockées sur disque La plupart des applications métiers propose des options pour sécuriser les informations et protéger la confidentialité AES-NI permet un usage étendu du chiffrement pour mieux protéger les informations vitales & confidentielles dIntel

71 71 Besoin critique en environnements virtualisés & Cloud Supporte la migration de VM entre plateformes certifiées TXT apporte un niveau de Sécurité & de protection supplémentaire pour les environnements virtualisés Green designates Intel ® TXT enabled Safer VMM Launch Ensures of Only Trusted Software is Run HW Hypervisor OS App OS App HW Hypervisor OS App OS App Trust Level: Measured Trust Level: Unknown Intel ® TXT VM1 … VMn Trustable Pools Migration Within Your Resource Pools HW Hypervisor OS App OS App HW Hypervisor OS App OS App HW Hypervisor OS App OS App VM1a VM2aVM1b VM2bVM3a VM3b

72 72 Desktops Laptops Embedded Handhelds Netbooks Personal Devices Smart TVs IVI Tablets La Sécurité dun Cloud au niveau dun Datacenter passera aussi par celle des périphériques qui sy connecteront Vers une Sécurité adaptée en fonction des usages & des utilisateurs

73 73 Utilisateurs Standards & Interopérabilité Feuille de route technique & technologique Groupes de travail Modèles dusage Adopteur & Contributeur Une initiative orientée « usages » du Cloud Computing

74 74 Le Cloud apporte son lot de nouveaux bénéfices mais aussi de nouvelles menaces La Sécurité fait partie des tous premiers éléments à prendre en compte pour une intégration du Cloud dans son infrastructure existante Il faut considérer la Sécurité tant au niveau technologique que gouvernance Lapparition du Cloud dans les entreprises va favoriser une remise à plat des politiques et des techniques de Sécurité La Sécurité est à considérer de bout en bout, du Datacenter au Poste Client, du service proposé à lutilisateur final

75 75 Were making changes to support the legacy application environment while implementing a new secure, agile, efficient, service-oriented environment. Were making changes to support the legacy application environment while implementing a new secure, agile, efficient, service-oriented environment. Our mindset is to provision services, not servers Das Kamhout (Cloud Solution Architect, Intel IT )

76 76

77 77 EN GUISE DE CONCLUSION…

78 78 Mis en place correctement et à moyen terme, le Cloud Computing peut améliorer la disponibilité De bons services de sécurité managés sont disponibles Les Private et Community Clouds peuvent permettre la collaboration sécurisée avec des partenaires externes Les offres de Platform-as-a-Service (PaaS) peuvent embarquer une sécurité préventive au sein du cycle de vie du développement logiciel La virtualisation applicative, la virtualisation des postes de travail et la fédération didentité sont des services Cloud transformationnels qui ont des impacts positifs en termes de sécurité

79 79 Le fournisseur du Cloud qui dépose son bilan Le fournisseur qui natteint par ses engagements en termes de niveaux de services Le fournisseur qui a une piètre planification de son PCA Les Datacenters qui sont situés dans des pays ayant des lois inamicales Lexistence dune clientèle captive grâce à la technologie ou aux formats de données La mise en commun des actifs informatiques avec ceux dautres clients et même des concurrents Les erreurs commises par la sécurité informatique interne du fournisseur avec des conséquences potentiellement beaucoup plus importantes Et bien dautres encore !!!

80 80 Le Cloud Computing est juste un autre modèle de fourniture de service (spécialement pour le SaaS) Les mêmes préoccupations ou des préoccupations semblables ont été levées auparavant quand on parlait doutsourcing ou de service bureau… Les solutions sont essentiellement les mêmes également La question de multi-territorialité reste quand même un point délicat Les clés pour une utilisation réussie (et conforme à la réglementation) du Cloud sont notamment La sélection réfléchie du fournisseur de service La négociation des contrats et des niveaux de services Des audits réguliers des fournisseurs de service ISO/IEC 27001:2005 SAS No.70 Type 1 et Type 2

81 81 « Faire attention à la marche » : les entreprises ne doivent probablement pas, en général, utiliser des Public Clouds pour des applications à risque élevé (cest-à-dire sensibles) Ne pas hésiter au sein de la RSSI à souscrire une police dassurance pour la RSSI Quand cest nécessaire, obtenir une acceptation par écrit des risques de la part des patrons des métiers concernés et négocier toutes les assurances possibles auprès des fournisseurs impliqués Mettre en place des points de contrôle au sein des processus appropriés afin de disposer de la visibilité et du contrôle nécessaire par rapport aux initiatives Cloud des métiers

82 82 Construire des Clouds internes ; parcourir à son rythme les étapes en direction du Public Cloud sur des applications de risque faible ou moyen Développer des architectures hybrides orientées service Considérer des Private (Community) Clouds en partenariat avec dautres industries verticales avec lesquelles on a des affinités Insister pour bénéficier de la plus grande transparence des fournisseurs autour de la sécurité du Cloud, pour disposer de meilleurs critères dévaluation et dun meilleur écosystème pour les audits réalisés par des tiers et pour la mise en place de standards de lindustrie pour améliorer linteropérabilité et la sécurité

83 83 Transparence du fournisseur de services Cloud Processus et procédures Politiques Conformité Pouvez-vous héberger vos données dans le Cloud ? De quoi avez-vous besoin pour remplir vos obligations de conformité ? Analyse des risques / Gestion des risques

84 84 Demander de la documentation – Comprendre comment le fournisseur effectue sa gestion de la sécurité et quel est son cadre de contrôle : sécurité et conformité – Comme est effectué le provisionnement des comptes et quels sont les mécanismes dauthentification utilisés ? – Quels sont les fournisseurs tiers impliqués ? – Quels sont les pratiques de développement et de test ? Transparence dans les processus

85 85 Politiques – Localisation géographique des données – Politique de rétention des données et destruction des données – Respect de la vie privée – Architecture, patch, test et déploiement de nouvelles versions (SaaS et PaaS) – Vulnérabilités et violations de données Transparence dans les politiques

86 86 Demandez à voir des audits réalisés par des tiers et des attestations Comprendre exactement ce que vérifie la certification/lattestation ISO SAS 70 Type I et Type II Comprendre ce qui est couvert et ce qui nest pas couvert La couverture de la plateforme nimplique pas la couverture des applications

87 87 Pouvez-vous légalement placer vos donner dans le Cloud? Propriété intellectuelles et secrets de fabrication Données sensibles Localisation des données Clauses contractuelles SLA Données, possession des données agrégées et des métadonnées Types spéciaux de données Est-ce que le fournisseur de services Cloud vous fournit la documentation dont vous avez besoin pour votre conformité ?

88 88 Le Cloud Computing représente une force économique et technique qui transforme linformatique en profondeur mais les entreprises sont préoccupées par leur sécurité Le Cloud Computing crée de nouvelles opportunités Le Cloud Computing nécessite de repenser (mais pas de réinventer) les programmes et les architectures de sécurité La notion de périmètre de sécurité du SI doit cependant être remise à plat Les questions de la gestion du cycle des identités et de la classification/protection des informations deviennent centrales

89 89 Dans la mesure où les entreprises tirent partie des Clouds publics ou privés, elles doivent se placer elles-mêmes dans une posture où elles mettent davantage en exergue le transfert du risque, la dissuasion, la surveillance, le feedback et laudit quelles ne le faisaient avec les contrôles préventifs

90 90 Avantages certains Risques juridiques significatifs Risques techniques classiques Importance des contrats Surveiller les travaux des organismes CSA, NIST, ENISA CSA Control Matrix (CM)

91 91 Je ne vois pas de nuage...

92 92

93 93 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM

94 94 ENISA

95 95 ENISA : European Network and Information Security Agency

96 96 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au Cloud

97 97 Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de lisolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…)

98 98 La gestion des identités dans le Cloud La gestion des données dans le Cloud et leur sécurité

99 99 Plusieurs fournisseurs de solutions Cloud La synchronisation avec lannuaire de lentreprise ne passe pas à léchelle La connexion à lentreprise risque de créer un point unique de défaillance Le dé-provisionnement des identités est encore moins capable de passer à léchelle puisque les retards temporels constituent autant de fenêtres dopportunité pour les attaquants

100 100 La fédération didentité est la seule solution qui soit capable de passer à léchelle vers le Cloud Les fournisseurs didentités fédérées peuvent aussi gérer la distribution de clés Les applications didentités fédérées elles-mêmes (à lexception du stockage des clés) peuvent sexécuter en utilisant linfrastructure du Cloud Une fourniture didentités basée dans le Cloud donne plus de résilience à lensemble du système

101 101 Une vérification approximative didentité rend les plateformes Cloud vulnérables pour être utilisées comme plateformes dattaque. Et ceci affecte alors tous les utilisateurs Craquage de mot de passe Attaque en déni de service distribué Cassage de « Captcha » Blocage de liste dadresses IP pour dautres utilisateurs … Cest la raison pour laquelle la gestion didentité est un sujet particulièrement important dans le Cloud

102 102 La gestion des clés est (actuellement) de la responsabilité du Client du fournisseur de Cloud Le provisionnement des clés et leur stockage sont habituellement réalisés en dehors du Cloud Le chiffrement de données dans le Cloud de telle façon que le fournisseur de Cloud ne puisse les lire est TRES difficile !

103 103 3 alternatives possibles : Essayer de chiffrer toutes les opérations afin de les rendre inaccessibles depuis un environnement Cloud présupposé indigne de confiance – TRES Difficile à mettre en œuvre Utiliser une zone sécurisée avec des garanties de sécurité fournies par le fournisseur de Cloud Faire complètement confiance au fournisseur de Cloud (éventuellement en utilisant des certificats tiers)

104 104 Le stockage des clés et le provisionnement sont pratiquement impossible avec les technologies actuelles Les HSM ne passent pas à léchelle du Cloud PKCS#10,11 ne parlent pas au Cloud La révocation est encore plus compliquée... On a besoin de nouvelles fonctionnalités de chiffrement et de nouveaux standards et solutions de gestion de clés adaptés au paradigme du Cloud

105 105 LE GRAAL DE LA SECURITE DANS LE CLOUD : LE CHIFFREMENT…

106 106 Bien que les bénéfices dutiliser une infrastructure de Cloud public soient clairs, celle-ci introduit de nouveaux risques en matière de sécurité et de vie privée (perçus ou réels) Il semble que les principaux obstacles à ladoption du stockage (et du Cloud Computing en général) dans le Cloud soient reliées à la confidentialité et à lintégrité des données Bien que, jusquà présent, les consommateurs aient été prêts à sacrifier leur vie privée pour bénéficier de services logiciels (Webmail, calendriers, photos et images,…), il nest pas absolument certain quil en ira de même des entreprises et des états Cette crainte peut être attribuée à plusieurs facteurs qui vont du besoin de protéger des données sensibles aux obligations réglementaires de protéger la confidentialité et lintégrité des données Informations personnelles, enregistrements médicaux ou financiers En fait, bien que le stockage dans le Cloud ait un énorme potentiel, tant que les questions de la confidentialité et de lintégrité nauront pas été adressées, de nombreux clients potentiels resteront hésitants à sauter le pas vers le Cloud

107 107 Chiffrer des données dans le Cloud pose de nombreux défis : Echanger les clés Permettre la collaboration

108 108 Le Graal : Stocker ses données dans le Cloud en les chiffrant… tout en gardant les clés Pour cela, il faut mettre en œuvre une solution de

109 109 Un chiffrement est homomorphe si : a partir de Enc(a) et Enc(b), il est possible de calculer Enc(f (a; b)) ou f peut être, par exemple : + ´ Å et sans que la clé privée soit utilisée Idéalement, on voudrait que f = NAND, ou que f = {+, ´} Appelé chiffrement doublement homomorphe Permet deffectuer nimporte quel calcul sur du texte chiffré sans pour autant le déchiffrer !

110 : Ronald Rivest, Leonard Adleman et Adi Shamir, du MIT, publient l'algorithme de chiffrement et de signature RSA. La version basique du chiffrement RSA est homomorphe pour la multiplication, mais ne satisfait pas de bonnes notions de sécurité 1978 : Ronald Rivest, Leonard Adleman et Michael Dertouzos évoquent pour la première fois le concept de chiffrement homomorphe 1982 : Leonard Adleman publie la première cryptanalyse à base de réseaux : Shafi Goldwasser et Silvio Micali proposent le premier schéma de chiffrement à « sécurité prouvée » (il atteint de bonnes notions de sécurité) : il est homomorphe pour l'addition, mais ne peut chiffrer qu'un seul bit 1996 : Jeffrey Hoffstein, Jill Pipher et Joseph Silverman inventent le cryptosystème NTRU, à base de réseaux 1999 : Pascal Paillier propose un système de chiffrement efficace à « sécurité prouvée » qui est homomorphe pour l'addition 2005 : Dan Boneh, Eu-Jin Goh et Kobi Nissim inventent un système de chiffrement homomorphe à « sécurité prouvée », avec lequel on peut effectuer un nombre illimité d'additions mais une seule multiplication 2009 : Craig Gentry, d'IBM, propose un système de chiffrement « complètement homomorphe »

111 111 La question a été formulée il y a une trentaine d'années, peu après linvention de RSA, l'algorithme à clé publique le plus répandu à ce jour pour signer ou chiffrer des documents Ron Rivest, Leonard Adleman (les R et A du RSA) et Michael Dertouzos ont montré l'intérêt de trouver des systèmes de chiffrement pour lesquels on peut effectuer des opérations sur des données chiffrées sans connaître la clé secrète, donc sans déchiffrer Lorsqu'on déchiffre le résultat de l'opération, c'est bien le même que si on avait mené les calculs sur les données brutes : par exemple, si on chiffre séparément deux nombres a et b en a' et b', n'importe qui peut alors obtenir un chiffrement de a + b à partir uniquement des chiffrés a' et b', sans déchiffrer ni a' ni b' On connait déjà des systèmes de chiffrement homomorphes, mais ils ne sont que partiels, ne permettant de faire qu'un seul type d'opération : soit des additions, soit des multiplications : un système de chiffrement « complètement homomorphe », comme celui proposé par Gentry, permet lui de faire les deux

112 112 Une application du chiffrement homomorphe pour l'addition est le vote électronique : chaque vote est chiffré mais seule la « somme » est déchiffrée Avec un chiffrement « complètement homomorphe », on pourrait faire bien plus, comme appliquer un filtre anti- spam (ou faire de la recherche par mot clé) sur des courriers électroniques chiffrés Plus généralement, on pourrait sous-traiter des calculs à des machines distantes – doù lintérêt majeur pour ce qui concerne le Cloud Computing – sur des données confidentielles

113 113 La dernière découverte de Gentry dIBM est malheureusement inutilisable : Gentrys scheme is completely impractical. It uses something called an ideal lattice as the basis for the encryption scheme, and both the size of the ciphertext and the complexity of the encryption and decryption operations grow enormously with the number of operations you need to perform on the ciphertext -- and that number needs to be fixed in advance. And converting a computer program, even a simple one, into a Boolean circuit requires an enormous number of operations. These aren't impracticalities that can be solved with some clever optimization techniques and a few turns of Moore's Law; this is an inherent limitation in the algorithm. In one article, Gentry estimates that performing a Google search with encrypted keywords -- a perfectly reasonable simple application of this algorithm -- would increase the amount of computing time by about a trillion. Moores law calculates that it would be 40 years before that homomorphic search would be as efficient as a search today, and I think hes being optimistic with even this most simple of examples. Source:

114 114 Berkeley : NIST : ENISA : computing-risk-assessment Cloud Security Alliance JERICHO Forum Shared Assessments

115 115 conseils/cloud.aspx the-cloud/ cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html

116 116 Faire passer des données publiques ou non sensibles vers un Cloud externe réduit lexposition des données internes sensibles Lhomogénéité du Cloud simplifie laudit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Redondance / Récupération en cas de désastre

117 117 Le modèle de sécurité du fournisseur à qui on fait confiance Lincapacité potentielle du client final à répondre à des conclusions daudit Les difficultés pour obtenir le support à des fins dinvestigation La responsabilité indirecte de ladministrateur Les implémentations qui ne peuvent être examinées La perte de contrôle physique

118 118 Votre Application Tests, Surveillance, Diagnostics et Vérification Vues architecturales Gouvernance Cycle de vie (Naissance, Croissance, Défaillance, Récupération, Mort) Métadonnées Catégories, Capacités, Configuration et Dépendances Gestion de ressource Surveillance de base Infrastructure Software et Hardware Infrastructure et Logistique Gestion déléments (Responsabilité partagée) Votre Problème Le problème du fournisseur Un modèle de référence du Cloud

119 119 Système dexploitation Hyperviseur Application Datacenter (énergie, refroidissement, sécurité physique) Serveur dapplicationMiddlewareBase de données CPURéseau Stockage VOS DONNEES Sauvegarde Software as a Service Votre Problème Leur Problème

120 120 Système dexploitation Hyperviseur Votre Application Datacenter (énergie, refroidissement, sécurité physique) Serveur dapplicationMiddlewareBase de données CPURéseauStockageSauvegarde Platform as a Service Votre problème Leur problème

121 121 Votre système dexploitation Hyperviseur Votre Application Datacenter (énergie, refroidissement, sécurité physique) Votre Serveur dapplication Votre Middleware Votre Base de données CPURéseauStockageSauvegarde Infrastructure as a Service Votre problème Leur problème

122 122 Fragmentation et dispersion des données Equipe sécurité dédiée Plus gros investissement dans linfrastructure de sécurité Tolérance à la panne et fiabilité Meilleure résilience Protection de lhyperviseur contre les attaques réseau Réduction possible des activités de certification et daccréditation (accès à des Cloud pré-accrédités)

123 123 Simplification de lanalyse de conformité Données détenues par un tiers Solutions bas coût pour la récupération en cas de désastre et le stockage des données Contrôle sécurité à la demande Détection en temps réel des tentatives de violation de système Reprise rapide des services en cas de problème Possibilité avancées de « pot de miel »

124 124 Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de lisolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service

125 125 Dépendance dhyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité dinterruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de laccès à linterface de contrôle daccès aux ressources du Cloud Chiffrement des accès administratifs aux instances dOS Chiffrement de laccès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS

126 126 Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs

127 127 Vous avez une question technique ? Vous avez un projet et souhaitez échanger sur place avec des experts techniques ? Vous souhaitez aller plus loin sur le sujet et participer à une session sur une thématique de votre choix au Campus de Microsoft France suite à lévénement ? Rendez-vous au Pôle Information & Projets Lounge des Décideurs Informatique (salle 252B)

128


Télécharger ppt "2 9 février 2011 Bernard Ourghanlian CTO, CSO & DPE Lead Microsoft France RDI201."

Présentations similaires


Annonces Google