Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Humanités
  2. Communication
  3. Publicité

Une attaque peut en cacher une autre

publicité 
Recommandations d’usage du
cloud
1
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Cadre réglementaire
 PSSIE, principes stratégiques
 P9. Les produits et services acquis par les administrations et destinés à
assurer la sécurité des systèmes d’information de l’État doivent faire
l’objet d’une évaluation et d’une attestation préalable de leur niveau de
sécurité, selon une procédure reconnue par l’ANSSI (« labellisation »).
 P10. Les informations de l’administration considérées comme
sensibles, en raison de leurs besoins en confidentialité, intégrité ou
disponibilité, sont hébergées sur le territoire national.
 Données à caractère personnel
 Loi Informatique et libertés 1978 RGPD (25 mai 2018)
 Contraintes de localisation
 Exigences sur le prestataire
 Définitions des responsabilités et cadre contractuel
 Contrôle du prestataire
2
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Cadre réglementaire (2)
 Protection du potentiel scientifique et technique
 Données des domaines sensibles  diffusion restreinte (Instruction
901)
 Terriblement contraignant
 Difficilement compatible avec le fonctionnement de la recherche
scientifique
 Attente de textes sur la « PPST numérique »
 Stockage dans un cloud public exclu
3
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Qualification ANSSI
 SecNumCloud
 Référentiel de référence pour la qualification des prestataires d’informatique
en nuage
 Basé sur l ’ISO 27002:2013
 2 niveaux
 Essentiel : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf
 Avancé : non encore publié
 PSSIE
 La conformité d’un service d’informatique en nuage au niveau « Essentiel »
n’atteste pas de sa conformité à la PSSIE
 Actuellement aucun qualifié, seulement des prestataires en cours de qualification
 Avancé  OODRIVE : iExtranet, PostFiles et BoardNox
 Avancé  VENDOME SOLUTIONS : IaaS avec Plan de Reprise d'Activité
 Essentiel  ORANGE CLOUD for BUSINESS : Flexible Storage
4
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Risques du cloud, quelques questions à se poser











5
Conformité avec la réglementation ?
Territorialité et législation applicable ?
Pérennité du prestataire et de son service ?
Réversibilité ?
PCA/PRA ?
Propriété des données déposées ?
Accès aux journaux ?
Contrôle, audit du prestataire ?
Pertes de compétences ?
Coûts immédiats et à long terme ?
Cloisonnement des différents clients ?
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Clouds publics « gratuits »
 Contrat d’adhésion
 Négociation impossible
 Clauses léonines
 Rédigé par des juristes pour que cela soit le plus long et le plus
incompréhensible possible
 Abandon de droits sur ses propres données
 Modèle économique
 Produit d’appel pour une solution payante
 Revente des informations des clients (pour la publicité notamment)
 Incompatible avec notre cadre réglementaire
 On n’utilise pas les clouds publics gratuits
 Exception possible pour des données chiffrées dont on maîtrise totalement
le chiffrement
 Chiffré/déchiffré localement avant envoi/après réception
 Clé uniquement connue localement
6
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Clouds publics payants
 Le prestataire et le contrat que l’on a avec doivent être compatibles avec le
cadre réglementaire vu précédemment
 Nécessaire appréciation des risques
 Cf. questions posées précédemment
 Analyse des coûts et notamment des coûts cachés et induits
 Gestion du contrat et des relations avec le prestataire
 Réversibilité
 Pertes de compétence
 Traitement des incidents et problèmes
 Possible après étude approfondie
 Certainement exclusion des données les plus sensibles
7
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Clouds privés
 Offres
 CNRS
 CoRe (SharePoint)
 My CoRe (OwnCloud)
 ODS : IaaS, PaaS
 Renater
 Universités
 Solutions à privilégier
 Données PPST  très grande prudence
 Pas sur CoRe aujourd’hui
 Nouveau marché
 ZonePoint
 Chiffrement données sensibles avec produits qualifiés (Prim’X)
8
CNRS I RSSI I François Morris
Jussieu 21/03/2017
Documents connexes
Télécharger le pdf
Télécharger le pdf
Télécharger le pdf
Télécharger le pdf
HEDS R éseau
HEDS R éseau
Lien vers un site externe
Lien vers un site externe
SCD_assistante_de_gestion
SCD_assistante_de_gestion
2017
2017
Télécharger le pdf
Télécharger le pdf
Proposition d`un Stage de M1 : Oxydation d`Esters Alleniques Nous
Proposition d`un Stage de M1 : Oxydation d`Esters Alleniques Nous
Comité scientifique sectoriel « Nanosciences et Nanotechnologies » Edition 2010
Comité scientifique sectoriel « Nanosciences et Nanotechnologies » Edition 2010
Analyse d`une critique de film
Analyse d`une critique de film
Télécharger sous format DOC - Presse | Europa-Park
Télécharger sous format DOC - Presse | Europa-Park
Programmation ÉTÉ 2017 - Municipalité de Sainte
Programmation ÉTÉ 2017 - Municipalité de Sainte
LEADMEDIA MET À JOUR SON CALENDRIER DE
LEADMEDIA MET À JOUR SON CALENDRIER DE
Morphogenèse ou la logique du développement des formes Jeudi
Morphogenèse ou la logique du développement des formes Jeudi
4 stages en informatique, basés sur l`utilisation de Python à
4 stages en informatique, basés sur l`utilisation de Python à
Utiliser les bactéries pour convertir en électricité une partie de l
Utiliser les bactéries pour convertir en électricité une partie de l
Contrôle général économique et financier
Contrôle général économique et financier
Registre TS 2017 - Communauté des Communes Ardèche des
Registre TS 2017 - Communauté des Communes Ardèche des
Synthèse « Responsabilité du RSSI
Synthèse « Responsabilité du RSSI
Le positionnement du RSSI en Suisse Romande - CONTECSI
Le positionnement du RSSI en Suisse Romande - CONTECSI
Téléchargement
publicité