Patrick BOCHART Conseiller en sécurité de l’information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be

Politique de sécurité relative à des services de Cloud Computing

11/3/2014

Agenda

• Introduction & Portée • Objectifs • Risques liés au « Cloud » • Politique • Annexes

2

Définition

• Le cloud computing est un modèle Informatique qui permet un accès facile et à la demande par le réseau à un ensemble partagé de ressources informatiques configurables (serveurs, stockage, applications et services) qui peuvent être rapidement provisionnées et libérées par un minimum d’efforts de gestion ou d’interaction avec le fournisseur du service.

NIST Special Publication 800-145 The NIST Definition of Cloud Computing

3

Définition • Caractéristiques essentielles:

– On-demand self-service : La mise en œuvre des systèmes est entièrement automatisée et c’est l’utilisateur, au moyen d’une console de commande, qui met en place et gère la configuration à distance.

– Broad network access : les capacités sont disponibles sur le réseau et accessibles par des mécanismes standards, qui favorisent l’accès au service par des clients lourds, légers, des smartphones… via des plates-formes hétérogènes

– Resource pooling : les ressources de calcul sont mises à disposition des clients sur un modèle multi-locataires, avec une attribution dynamique des ressources physiques et virtuelles en fonction de la demande. Le client n’a généralement aucun contrôle ou connaissance sur l’emplacement exact des ressources fournies. Toutefois, le client peut imposer de spécifier l’emplacement à un niveau plus haut d’abstraction (par exemple le pays, l’état ou le Data Center).

– Rapid elasticity : les capacités proposées peuvent rapidement augmenter ou diminuer en fonction des besoins.

– Measured service : les systèmes contrôlent et optimisent automatiquement l’utilisation des ressources par rapport à une moyenne estimée de consommation du service. L’utilisation des ressources peut être gérée, contrôlée et communiquée, fournissant ainsi de la transparence au client et au fournisseur. 4

Définition

• Modèles de service – SaaS: « Software as a Service » – PaaS: « Platform as a Service – IaaS : « Infrastructure as a Service »

5

6

Définition • Modèle de déploiement

– Privé – Communautaire – Hybride – Public

7

Introduction & Portée

• But – Etablir les exigences de sécurité lorsqu’une institution de la sécurité

sociale envisage de recourir à un service « Cloud Computing » – S’assurer que le prestataire du « Cloud Computing » offre des

garanties suffisantes en matière de protection des données, de respect de la loi de la vie privée mais aussi au niveau de la pérennité des données et des considérations juridiques et techniques de réalisation des prestations.

• Portée – Institutions de la sécurité sociale traitant des données confidentielles

qui souhaitent faire appel à des prestataires de service « Cloud Computing » ou offrants des activités d’externalisation IT.

8

Objectifs

• Etablir les exigences minimales de sécurité technique et juridique ainsi que les garanties contractuelles

• Qualité attendue du/des service(s) qui sera(seront) sous-traité

9

Risques liées au « Cloud »

• Perte de gouvernance sur le traitement • Risques liées aux sous-traitants du prestataire • Dépendance technologique • Faille dans l’isolation des données • Exécution de réquisitions judiciaires sur base de droit étranger sans

concertation avec les autorités nationales • Non-respect des règles de conservation et de destruction des

données édictées par l’institution • Problèmes de gestion des droits d’accès • Indisponibilité du service fourni par le prestataire • Fermeture du service du prestataire • Non-conformité avec la législation

10

Politique

• Directives générales • Garantie de mise en œuvre par le prestataire • Respect des bonnes pratiques par le prestataire de service • Respect des obligations légales et techniques dans le cas de

traitement de données à caractère personnel

11

Politique Directives Générales

• Identification, inventorisation, classification des données, traitements ou services

• Identification des conditions minimales ou restrictions en fonction de la classification des données

• Identification du type de « Cloud » pertinent • Définir ses propres exigences de sécurité • S’assurer de la réversibilité

• Conduire une analyse des risques afin de :

– Identifier les risques – Définir les mesures de sécurité à appliquer

12

Politique Garantie de mise en œuvre par le prestataire

Veiller aux garanties contractuelles suivantes : • Clause relative à la possibilité pour un prestataire de service

« cloud » de sous-traiter une partie de ses activités. • Clause relative à l’intégrité, la continuité et la qualité de

service • Clause relative à l’assurance de restitution des données • Clause sur la garantie de portabilité des données et

l’interopérabilité des systèmes.

13

Politique Garantie de mise en œuvre par le prestataire

Veiller aux garanties contractuelles suivantes : (suite) • Clause sur les règles d’audits • Clause sur les obligations du prestataire en matière de

confidentialité des données • Clause sur la souveraineté • Clause sur les obligations du prestataire en matière de

sécurité des données

14

Politique Respect des bonnes pratiques par le prestataire de service

Domaines applicabilités des bonnes pratiques • Protection des données • Sécurité des centres de calcul • Sécurité des accès logiques • Sécurité des systèmes • Sécurité du réseau

15

Politique Respect des bonnes pratiques par le prestataire de service

• Protection des données – Localisation connue et conforme – BCP/DRP mis en œuvre et testé – Sensibilisation personnel – Traçabilité – Gestion des incidents

• Sécurité des centres de calcul – Contrôle d’accès – Protection physique – Relation sous-traitants – Protection des systèmes de stockage de données

16

Politique Respect des bonnes pratiques par le prestataire de service

• Sécurité des accès logiques – Règles d’accès défini par le propriétaire – Mécanisme permettant la confidentialité et la traçabilité – Politique conforme propriétaire

• Sécurité des systèmes – Chiffrement des sauvegardes – Gestion et « patching » des vulnérabilités et tests réguliers – Contrôle media-mobiles – Documentation

• Sécurité des accès au réseau – Limitation des accès – Ségrégation des réseaux (business/management) – Processus de change management

17

Politique Respect des obligations légales et techniques traitements

données à caractère personnel Analyse de l’impact sur la sécurité et la confidentialité du traitement et le stockage de données à caractère personnel dans le cloud • Veiller au respect de la législation belge et européenne

mais également celle spécifique au secteur • Veiller au respect des règles de protection

des données à caractère personnel • Limitation à un prestataire offrant

des services cloud « privé » ou « communautaire » • La Directive européenne 95/46/CE permet

la libre circulation des données à caractère personnel au sein de l ’E.U.

• Externalisation des données à caractère personnel nécessite un chiffrement (transport et stockage)

18

Annexes

• Normes minimales • L’externalisation IT - « Cloud Computing » • Déplacement vers une infrastructure « Cloud Computing »

19

20

Annexes Les normes minimales

• 15. Relation avec les fournisseurs – 15.1 Collaboration avec des sous-traitants

• doit s’assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies.

• “Dans le cadre d’une solution de type « Cloud Computing », la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud « communautaire » (ou « privé »).”

Version 4.0 Janvier 2015

Annexes L’externalisation IT - « Cloud Computing »

• L’externalisation IT diffère-t-elle du « Cloud Computing »? – Niveau sécurité = NON – Le « Cloud Computing » est la résultante de l’évolution de

l’externalisation IT. – Cette politique de sécurité peut aussi être prise en considération dans

toutes activités d’externalisation IT

21

Annexes Déplacement vers une infrastructure « Cloud Computing »

• Réaliser un ROI du « Cloud Computing» • Identifier, classifier les actifs dans le champ « Cloud

Computing ». • Préparer une liste de candidats potentiels • Exécuter un « Sanity Check » de ceux-ci • Impliquer les personnes clés de l’organisation • Examiner en profondeur le design et les exigences de la

solution proposée par le candidat

22

Patrick BOCHART Conseiller en sécurité de l’information Banque Carrefour de la Sécurité Sociale security@ksz-bcss.fgov.be https://www.bcss.fgov.be/

MERCI ! QUESTIONS ?

23