Sécurité Cloud Computing

Sécurité Cloud Computing GIN3C08

Enseignant:

Email:

Durée totale du cours: 45 H

Semestre : 5

Module complémantaire Ingénierie logicielle

Nombre de crédits : 2

Volume Horaire : 1h30 Cours intégrés & 1h30 Travaux pratiques (par semaine)

Description de la formation

• Synthèse de la sécurité du Cloud et des nouveaux usages des technologies

Objectifs d’apprentissage et compétences visées

• Ce séminaire offre une synthèse claire des différents moyens pour assurer la sécurité du Cloud.
• Une formation complète durant laquelle s'alternent les phases d'apports théoriques, d'échanges, de partage d'expériences et de mises en situation.

Contenu

1 - Introduction

• Rappel des éléments matériels et logiciels de l'architecture Cloud selon les organismes de standardisation NIST (National Institute of Standards and Technology)
• Complexité du contexte de l'utilisation en tout lieu avec tout type de terminaux de connexion

2 - Déceler les points de vulnérabilité du Cloud

• Solutions et architectures du Cloud proposées par des grands acteurs du secteur (OS Cloud, virtualisation, stockage, Datacenter, réseaux...)
• Points de vulnérabilité du terminal d'accès au Datacenter du Cloud
• Problèmes de sécurité spécifique aux Clouds ouverts et interconnectés
• Quatre niveaux de sécurité (technologique, organisationnel, contractuel et de conception d'architectures techniques)

3 - S'inspirer des recommandations d'organismes officiels CSA (Cloud Security Alliance) et ENISA (European Network and Information Security Agency) pour sécuriser le Cloud et gérer les risques

• Protection d'accès à distance au Cloud et Datacenter (firewall multifonctions)
• Sécurité des transactions en ligne par la cryptologie (PKI)
• Authentification des accès : NAC, RBAC, portail captif, authentification forte
• IAM (Identity and Access Management)
• Surveillance des activités anormales (IDS/IPS, NIDS/NIPS)
• SIEM (Security Information and Event Management)
• Lutte contre le vol de données (DLP : Data Lost Prevention)
• 35 types de risques selon ENISA
• Traitement des 5 risques majeurs et fréquents en s'appuyant sur les recommandations d''ENISA

4 - S'appuyer sur les solutions techniques de sécurité du Cloud, proposées par les constructeurs et opérateurs Cloud

• Synthèse des approches, matériels et logiciels de sécurité adoptés par des fournisseurs de Cloud
• Solutions de sécurité offertes par les opérateurs de Cloud public
• Internalisation des dispositifs privés dans le Datacenter du Cloud
• Cloud intermédiaire de sécurité (SecaaS : Security as a Service)
• Avantages et inconvénients de chaque solution

5 - Sécuriser le Cloud par l'organisation des processus et le contrat de SLA

• Classification des applications éligibles pour le Cloud
• Évaluation des risques et mise en place de leur gestion
• Plan de reprise d'activité
• Choix entre les Clouds souverains et ouverts
• Définir les critères de SLA de sécurité
• Responsabilité de l'entreprise : terminaux d'accès et réseaux locaux et distants
• Responsabilités partagées des parties prenantes (entreprise cliente et son fournisseur des services du Cloud) en cas de problèmes liés à la sécurité

6 - Sécuriser le Cloud par la conception des architectures

• Isolement et étanchéité des solutions impliquées (Virtualisation, Stockage, orchestration, API, connecteurs...) et des applications
• Association des moyens de protection, en fonction du niveau de sécurité nécessaire des éléments du Cloud
• Cloud hybride
• Cryptage de la transmission au niveau des réseaux locaux du Datacenter
• Firewall local au sein du Cloud
• Sécuriser les accès locaux et distants au Cloud en tout lieu pour des terminaux mobiles : VPN SSL, VPN IPSec et IEEE802.11i
• Dispositifs out-band de sécurité et de Firewall d'identité pour les accès mobiles en local
• Impact des solutions incohérentes de sécurité et métriques de qualité indispensable
• Ingénierie du trafic IP et des flux de données pour le bon fonctionnement des applications

7 - Sécuriser l'utilisation des périphériques personnels des employés pour accéder au Cloud (BYOD : Bring Your Own Device)

• Choix des solutions sécurisées d'accueil des terminaux (VDI, TS-WEB, RDP, PCoIP...)
• Sélection des périphériques : tablettes, Smartphone, OS, navigateurs.... et leurs contraintes
• Étude des vulnérabilités pour fixer les règles d'utilisation d'accès au Cloud
• Affectation des droits selon des critères techniques et organisationnels Méthodes d’enseignement et d’apprentissage

• Enseignement frontal (magistral) avec des exemples à résoudre en
• Exercices théoriques et études de cas (présentation et discussion).
• Travaux pratiques (laboratoire)
• Travaux à faire à domicile (mini-projet, exposé, compte-rendu, …)

Connaissances et compétences pré-requises

• Posséder une expérience en développement logiciel
• Connaître les concepts généraux du Cloud et les différents services proposés
• Java, Python .NET, Android et XML

Références bibliographiques

• Un polycopié (Notes du cours) de l’enseignant sera disponible avec recommandations bibliographiques.

Modalité d’évaluation

• 40% Contrôle continu (TP noté, Test, Assiduité, Devoir surveillé, travaux non présentiel, …)
• 60% Examen

Résultat d'apprentissage :

À la fin du cours, vous devriez être capable de : 

• Comprendre comment s'appuyer sur des référentiels de normes et de standards pour sécuriser le Cloud
• Connaître les moyens génériques de la sécurité du Cloud
• Être en mesure de s'inspirer des solutions et des démarches des opérateurs de Cloud pour sécuriser son approche
• Comprendre comment éviter la mise en place d'une sécurité coûteuse et laborieuse pouvant dégrader la performance du réseau global