Aperçu du cours
Objectifs de formation : A l’issue de la formation, le stagiaire sera capable d’engager une démarche sécurisée des projets Cloud, en adoptant une approche technique, métier et légale du sujet, adaptée au contexte opérationnel.
Prérequis
- Connaissances basiques sur le Cloud
- Connaissances basiques en sécurité informatique et réseaux
- Avoir des connaissances générales des systèmes d'information
Objectifs pédagogiques
- Connaitre les fondamentaux de la sécurité des SI et du Cloud
- Appréhender les principales menaces, vulnérabilités et risques du Cloud
- Connaitre les référentiels de normes et de standards pour sécuriser le Cloud
- Évaluer la maturité et le niveau de sécurité des fournisseurs Cloud
- Identifier les aspects organisationnels de la sécurité du cloud
- Identifier les bonnes pratiques et les solutions de sécurisation des opérateurs de Cloud
Public ciblé
- DSI
- RSI
- Chefs de projets
- Responsables sécurité
- Consultants
- Administrateurs
- Toute personne en charge de la sécurité du Cloud Computing
Programme de formation
-
Introduction
-
Différences entre la sécurité de l’entreprise et du Cloud
-
Les notions fondamentales de la sécurité
-
Les règles de sécurité
-
-
La sécurité des infrastructures virtuelles aujourd'hui
-
La sécurité au sein des environnements traditionnels
-
L’hyperviseur et la virtualisation du réseau
-
Les risques et méthodes de sécurisation
-
-
La sécurité du Cloud
-
Les acteurs de la sécurité
-
Les réglementations
-
Les certifications
-
Travaux pratiques: présentation d’une architecture virtuelle et déploiement d’une stratégie de sécurisation
-
-
Présentation des risques
-
Les données externalisables: données, métadonnées, d’authentification et sauvegardes, données de production, financières et des parties prenantes
-
Processus de gestion des risques ISO 27005
-
Approche qualitative & approche quantitative
-
-
Les risques critiques de par l'impact métier
-
La perte de gouvernance
-
La conformité
-
La modification de la législation
-
-
Les risques critiques de par leur probabilité
-
Échec d’isolation
-
Compromission interne du Cloud Provider
-
Suppression de données non sécurisées
-
Gestion du réseau
-
-
Prévention & atténuation des risques
-
Risques & opportunités ISO27001: prévention & atténuation des risques, les risques résiduels, la roue de Deming et l’audit
-
Méthodes de diminution organisationnelle des risques
-
Méthodes de diminution techniques des risques
-
Travaux pratiques
-
-
Présentation de l'aspect juridique
-
Contrats d’infogérance & contrats Cloud
-
Gérer et assurer la sécurité des données
-
La division des responsabilités
-
-
Principes généraux des contrats
-
Les clauses clés: SLA, Support, Sécurité, Facturation
-
L’auditabilité
-
Cloud auditor & APM
-
Le changement de provider : la réversibilité
-
L’interopérabilité du Cloud
-
-
Les SLA
-
Les SLA techniques & les SLA opérationnels
-
Travaux pratiques: Analyse de SLA dans les contrats Cloud
-
-
La tarification et les licences
-
Un nouveau modèle de coûts
-
Capex / Opex
-
Les enjeux pour les licences logicielles d’une société
-
SPLA de Microsoft
-
Les licences dans un environnement hybride
-
Les coûts cachés
-
Les outils de providers & les outils spécifiques
-
Travaux pratiques: Étude des contrats de Microsoft 365 et d’un contrat SaaS
-
-
Les Best Practices : sécurisation du Cloud
-
Sécurité physique & sécurité environnementale
-
Gestion des accès et des identités
-
Chiffrement des données
-
Cryptologie
-
-
Opération & exploitation des SI
-
Gestion des changements
-
Sécurisation et sauvegarde des environnements
-
Journalisation des évènements : sécurisation, gestion et exploitation
-
-
Continuité d'activité
-
Les normes de Data Center
-
PRA / PCA dans le Cloud
-
Redondance des ressources
-
Redondance des équipements
-
-
Acquisition, développement & maintenance des SI
-
Politique de développement
-
Externalisation du développement
-
-
Tiers & Ressources Humaines
-
Entrée et sortie
-
Rupture contractuelle
-
Travaux pratiques: Passage d’un infogéreur traditionnel vers un Data Center HDS
-
-
Sécurité des flux
-
La virtualisation du réseau
-
La micro-segmentation
-
Distributed firewall
-
Le cas de VMware NSX
-
-
La sécurité entre Clouds
-
Les VPN des providers
-
L’interconnexion des équipements aux équipements du provider
-
L’interconnexion des applications SaaS aux données dans l’entreprises
-
Travaux pratiques: Fédérer des identites sous Office 365, Sécuriser des accès à AWS
-
Instructeur
