Résumé du cours
Cette formation vous permettra d'apprendra à engager une démarche sécurisée des projets Cloud, en adoptant une approche technique, métier et légale du sujet, adaptée au contexte opérationnel.
Moyens d'évaluation :
- Quiz pré-formation de vérification des connaissances (si applicable)
- Évaluations formatives pendant la formation, à travers les travaux pratiques réalisés sur les labs à l’issue de chaque module, QCM, mises en situation…
- Complétion par chaque participant d’un questionnaire et/ou questionnaire de positionnement en amont et à l’issue de la formation pour validation de l’acquisition des compétences
A qui s'adresse cette formation
- DSI
- RSI
- Chefs de projets
- Responsables sécurité
- Consultants
- Administrateurs
- Toute personne en charge de la sécurité du Cloud Computing
Pré-requis
Avoir des connaissances générales des systèmes d'information.
Objectifs
À l'issue de la formation, vous serez capable de:
- Connaître les fondamentaux de la sécurité des SI et du Cloud
- Appréhender les principales menaces, vulnérabilités et risques du Cloud
- Connaître les référentiels de normes et de standards pour sécuriser le Cloud
- Évaluer la maturité et le niveau de sécurité des fournisseurs cloud
- Identifier les aspects organisationnels de la sécurité du cloud
- Identifier les bonnes pratiques et les solutions de sécurisation des opérateurs de Cloud
Contenu
MODULE 1 : INTRODUCTION À LA SÉCURITÉ DU CLOUD COMPUTING
- MITRE ATT&CK et OWASP® Foundation
- Architecture du cloud computing (NIST, ISO 17788/17889).
- Shadow IT : détection et prévention des usages non approuvés du cloud.
- Le principe de responsabilité partagée en Iaas, PaaS et SaaS.
- Les normes ISO 27017 et 27018 pour sécuriser les données dans le cloud.
- Offre Azure, GCP et AWS
MODULE 2 : LA SÉCURITÉ DES DONNÉES DANS LE CLOUD
- Les données dans le cloud : cycle de vie, classification, anonymisation, pseudonymisation, tokenisation.
- L’approches BYOK (bring your own key) et les solutions HSM dans le cloud.
- Le CASB (cloud access security broker), principes et solutions.
- Les siems et SOAR
MODULE 3 : LES RÉFÉRENTIELS DE LA CLOUD SECURITY ALLIANCE (CSA)
- Les 14 domaines du security guidance for critical areas of focus in cloud computing.
- La certification CCSK (certificate of cloud security knowledge).
- La cloud controls matrix (CCM) et le consensus assessments initiative questionnaire (CAIQ).
- Le framework de certification OCF et l'annuaire STAR (security, trust & assurance registry).
- Le code de conduite RGPD (CoC GDPR) pour les fournisseurs.
MODULE 4 : LES RISQUES DANS LE CLOUD COMPUTING SELON L'ENISA
- Évaluation et gestion des risques du cloud par la norme ISO 27005.
- Les spécificités de la gestion des risques dans le cloud.
- Les principaux risques identifiés par l'ENISA.
MODULE 5 : L’ÉVALUATION DE LA SÉCURITÉ DES FOURNISSEURS
- Panorama des certifications/qualifications (SecNumCloud, SSAE18, HDS...).
- La certification de sécurité européenne issue du Cybersecurity Act.
- Intérêts et limites de la certification ISO 27001 pour les services cloud.
MODULE 6 : LA SÉCURITÉ DANS LES CONTRATS CLOUD
- Les accords de service (SLA) : pénalités versus indemnités.
- Les clauses de sécurité à insérer dans un contrat de cloud (confidentialité, effacement des données...).
- Clauses de réversibilité amont & aval.
MODULE 7 : ASPECTS JURIDIQUES
- Le cadre juridique des données à caractère personnel (GDPR, CCT, BCR...).
- Comment assurer sa conformité RGPD dans le cloud ?
- Les lois et dispositions américaines (Privacy Shield, Patriot Act., FISA, Cloud Act).
- Comment la loi Godfrain (CP 323) s’applique-elle dans un contexte de cloud international ?
- Les hébergeurs de données de santé (certification HDS, obligations de sécurité, localisation des données, etc.).
Français
Moyens Pédagogiques :