Cloud – Gouvernance et sécurité

FCCLOUD10
Nos formations Continues
< Nos formations en Continues
  • Lieu(x) de formation : Issy-les-Moulineaux
OBJECTIFS DE LA FORMATION

 Comprendre les éléments fondamentaux de la sécurité du Cloud
 Identifier et analyser les risques liés au Cloud
 Comprendre les contrats Cloud
 Mettre en oeuvre les bonnes pratiques de sécurité dans le Cloud
 Connaître les techniques de sécurisation réseau du Cloud.

Public concerné

Architectes, chefs de projets, ingénieurs informatique (réseau, système, développement…).

Cursus

Intra / Inter

CONTENU DE LA FORMATION
Contenu du module :

1. Sécurité du Cloud Computing
Introduction
• En quoi la sécurité du Cloud est-elle différente de celle dans l'entreprise ?
• Retour sur les aspects fondamentaux de la sécurité : confidentialité, intégrité, disponibilité, traçabilité
• Principes généraux de sécurité : SMSI, PSSI
La sécurité des infrastructures virtuelles aujourd'hui
• La gestion de la sécurité des environnements virtuels "traditionnels"
• L'impact de l'hyperviseur et de la virtualisation du réseau
• Les risques actuels et les techniques de sécurisation associées
Introduction à la sécurité du Cloud
• Les organismes aux différentes échelles : CNIL, ANSSI, ENISA, Cloud Security Alliance, ISO
• Les grandes réglementations : HDS, Directives européennes, Privacy Shield
• Les certifications : ISO 27001, 27002, 27005, 27018
2. Les risques identifiés
Introduction
• Identification et classification des données externalisables
o Données, métadonnées, données d'authentification et sauvegardes
o Données de production, financières et des parties prenantes (clients, fournisseurs, personnels)
• Processus de gestion des risques ISO 27005
• Approches qualitatives et quantitatives


Les risques critiques avec un très fort impact métier
• Perte de gouvernance
• Les défis de la conformité
• Les risques de changement des règles juridiques
Les risques critiques avec une forte vraisemblance
• Echec d'isolation
• Compromission interne du Cloud provider
• Suppression de données non sécurisées
• Gestion du réseau
Traitement et réduction des risques
• Actions liées aux risques et opportunités ISO27001
o Traitement et réduction des risques
o Risques résiduels
o PDCA
o Et audit
• Actions de réduction organisationnelle des risques
• Actions de réduction techniques des risques

3. Aspects juridiques : le contrat Cloud
Introduction
• Les différences entre les contrats d'infogérance et les contrats Cloud
• Gérer et garantir la localisation, le transfert et la sécurité des données, la confidentialité
• La dilution des responsabilités
Les contrats : généralités
• Les clauses clés du contrat
o SLA
o Support
o Sécurité
o Facturation
• Les clauses d'auditabilité
• Les Cloud auditor et les APM
• La réversibilité ou comment changer de provider ?
• L'interopérabilité du Cloud
Les SLA
• Les SLA techniques
• Les SLA opérationnels
• Exemples de SLA de contrats Cloud
La tarification et les licences
• Vers un nouveau modèle de coûts
• Capex / Opex
• L'impact sur les licences logicielles de l'entreprise
• L'exemple du SPLA de Microsoft
• Comment gérer les licences en environnement hybride ?
• Analyse des coûts cachés
• Les outils des providers (Amazon, Azure...) et les outils spécifiques (RightScale...)
4. Les bonnes pratiques de sécurité dans le Cloud
Sécurisation de l'infrastructure du Cloud
• La sécurité physique et environnementale
• Contrôle d'accès et gestion des identités
• La sécurité des données : chiffrement
• La gestion des mots de passe : cryptologie


Continuité d'activité
• Les normes de Data Center : uptimeinstitut et tier I à IV
• PRA / PCA et/dans le Cloud
• Redondance des ressources et des équipements
Acquisition, développement et maintenance des SI
• Politique de développement
• Développement externalisé
Tiers et ressources humaines
• Procédures d'entrée et de sortie
• La rupture contractuelle
5. La sécurité du réseau dans le Cloud
Sécurité des accès
• L'impact de la multiplication des applications SaaS
• La fédération des identités : SAML
• Le cas d'ADFS et de Azure AD
• L'évolution vers le Identity as a Service
Sécurité des flux
• L'impact de la virtualisation du réseau
• La micro-segmentation
• Distributed firewall
• Le cas de VMware NSX
La sécurité entre les Clouds
• Les offres de VPN des providers
• Les possibilités d'interconnecter vos équipements à ceux du Cloud provider
• L'interconnexion des applications SaaS avec des données situées dans l'entreprise
VALIDATION DE LA FORMATION

Attestation de formation

Une question ? Un besoin d'informations complémentaires ?

Mail : contact@aforp.fr
Tel : 01 43 11 29 90

Prerequis

Ø  Avoir des connaissances minimales sur le Cloud (caractéristiques, modèles de services, modèles de déploiement) et des bases en sécurité informatique et réseaux. Avoir également des notions de management de projet

Durée

3 jours

Coût

Nous consulter

MÉTHODES ET MOYENS PÉDAGOGIQUES

Moyens : Reposity et SOC pédagogiques, salles projets avec baies et équipements réseaux (switchs, routeurs, serveurs, firewall, nas). Environnements linux / windows.

MODALITÉS DE SUIVI ET D’ÉVALUATION

Modalités de suivi : Enquête de suivi à 6 mois

Modalités d'évaluation : TP/TD individuel

CONDITIONS D’ACCUEIL ET D’ACCES DES PUBLICS EN SITUATION DE HANDICAP

Veuillez consulter « notre démarche handicap »

Modalités d’inscription et d’admission
  • Modalités d'inscription : Auprès des équipes commerciales via e-mail ou inscription en ligne
  • Modalités d'admission : Bon de commande