informations
Référence : AF-CCSE
Prix de la formation : 2600 € HT par personne
Durée : 3 jours
Pauses-café et déjeuners offerts
Cours pratique en présentiel ou en classe à distance
ÉQUILIBRE THÉORIE / PRATIQUE :
Séminaire
VÉRIFICATION DES CONNAISSANCES :
Des QCM et des exercices pratiques sont réalisés tout au long et à la fin de formation afin de vérifier
l’acquisition des connaissances par les participants.
Délai d’accès :
1 mois de délai à compter de la réception de la demande de formation
Avis Général
4/5
Handicap
@forSSIc accorde un soin particulier à l’accueil des personnes en situation de handicap et propose un panel de dispositions en fonction des situations et des lieux de formation. Pour plus d’informations veuillez nous contacter auprès de l’adresse suivante : contact@forssic.fr
Description
La sécurité du cloud est l'ensemble des stratégies et pratiques de protection des données et des applications hébergées dans le cloud. Comme la cybersécurité, la sécurité du cloud est un domaine très vaste et il n'est jamais possible d'empêcher toutes sortes d'attaques. Cependant, une stratégie de sécurité du cloud bien conçue réduit considérablement le risque de cyberattaques. Cette formation permet d'expliquer comment évaluer les risques et quelles solutions mettre en place.
Objectifs
À l'issue de la formation, le participant sera en mesure de :
Evaluer les principales menaces, vulnérabilités et risques dans le cloud.
Acquérir les principales clés issues du guide sécurité et de la CCM de la cloud security alliance
Comprendre les risques identifiés par l'ENISA
Evaluer la maturité et le niveau de sécurité des fournisseurs cloud
Découvrir les principes fondamentaux de la sécurité dans le cloud
Avoir une vision globale des apects de conformité (juridique, niveaux de service, audit, standards…)
Comprendre la sécurité d'une architecture de Cloud Computing
Comprendre les risques induits par ces services en termes de sécurité de l'information
Obtenir une vision globale des offres de Cloud Computing
Savoir répondre à un incident de sécurité
Comprendre comment s'appuyer sur des référentiels de normes et de standards pour sécuriser le Cloud
Connaitre les moyens génériques de la sécurité du Cloud
Etre en mesure de s'inspirer des solutions et des démarches des opérateurs de Cloud pour sécuriser son approche
Comprendre comment éviter la mise en place d'une sécurité coûteuse et laborieuse pouvant dégrader la performance du réseau global
Public concernés
Architectes SI, Chefs de projet sécurité – Consultants Cyber, Responsables DSI – RSSI
Prérequis
Connaissance de base en sécurité de l'information
QCM de 15 questions à réaliser en amont de la formation
Solution
de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
Le dispositif FNE-Formation.
L'OPCO (opérateurs de compétences) de votre entreprise.
Pôle Emploi sous réserve de l'acceptation de votre dossier par votre conseiller Pôle Emploi.
Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30. Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts. En classe à distance, la formation démarre à partir de 9h. Pour les stages pratiques de 4 ou 5 jours, quelque soit la modalité, les sessions se terminent à 15h30 le dernier jour.
programme de la formation
1 - Introduction au cloud :
Chiffres clés du Cloud
Actualité du Cloud
Informatique traditionnelle et Cloud Computing
Définition du Cloud selon le NIST
Les 5 caractéristiques essentielles
Les 3 modèles de service (SaaS, PaaS, IaaS)
Les 4 modèles de déploiement (Cloud public, privé, hybride et communautaire)
Les grandes étapes d'une migration réussie d'un point de vue sécurité dans le cloud
Les offres SecaaS
2 - La sécurité des environnements virtualisés dans le CLoud :
Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl)
La problématique de la protection anti-malware dans une infrastructure virtualisée
Les risques liés aux vulnérabilités, aux API et aux logiciels (Openstack, Docker, VmWare…)
3 - La sécurité des réseaux dans le Cloud :
Software Definied Network : Principes et enjeux
L'approche SASE
Les accès sécurisés via Ipsec, VPN, https et SSH
Les solutions spécifiques d'accès au Cloud (Intercloud, Aws Direct connect…)
4 - La sécurité des données dans le Cloud :
Les données dans le cloud : cycle de vie, classification, anonymisation, pseudonymisation, tokenisation
Le CASB (Cloud Access Security Broker), principes et solutions
L'approche BYOK (Bring Your Own Key) et les solutions HSM dans le cloud
Les ILM (Information Lifecycle Management)
5 - Le CSA (Cloud Security Alliance) : rôle et référentiels
Les 14 domaines du security guidance for critical areas of focus in cloud computing
Les menaces dans le cloud selon l'ENISA
La cloud controls matrix (CCM) et le consensus assessments initiative questionnaire (CAIQ)
Le framework de certification OCF et l'annuaire STAR (Security Trust & Assurance Registry)
La certification CCSK (Certificate of Cloud Security Knowledge)
6 - Les risques Cloud selon l'ENISA :
Evaluation et gestion des risques du cloud par la norme ISO 27005
Les spécificités de la gestion des risques dans le cloud
Les 35 principaux risques identifiés par l'ENISA
7 - Le contrat Cloud :
Les accords de service (SLA) : pénalités versus indemnités
Les clauses de sécurité à insérer dans un contrat de cloud (confidentialité, effacement des données…)
Clauses de réversibilité amont & aval
8 - Le contrôle du Cloud :
Les audits de sécurité
Cloud et test d'intrusion : périmètre d'action
Panorama des certifications / qualifications (SecNumCloud, SSAE18, HDS…)
La certification de sécurité européenne issue du Cybersecurity Act
Intérêts et limites de la certification ISO 27001 pour les services cloud
Les normes ISO 27017 et ISO 27018
La gestion des incidents dans le cloud : rôle et responsabilité des acteurs
9 - Aspects juridiques :
Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
La nationalité du fournisseur et la localisation des Datacenters
Le cadre juridique des données à caractère personnel (Directive 95/46 CE, GDPR, CCT, BCR…)
Après l'annulation du « Privacy Shield », comment migrer ses données vers les USA ?
Le Cloud Act menace-t-il des données dans le Cloud à l'extérieur des USA ?
Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données, etc)