Formation Cloud – Gouvernance et sécurité

Référence : CLOUD003
Durée : 21 heures
Certification : Non
Eligible CPF : Non

CONNAISSANCES PREALABLES

1-Avoir des connaissances minimales sur le Cloud (caractéristiques, modèles de services, modèles de déploiement)
2-Avoir des bases en sécurité informatique et réseaux
3-Avoir également des notions de management de projet

PROFIL DES STAGIAIRES

Cette formation Cloud s'adresse aux architectes, chefs de projets, ingénieurs informatique (réseau, système, développement...)

OBJECTIFS

Décrire les éléments fondamentaux de la sécurité du Cloud
Identifier et analyser les risques liés au Cloud
Interpréter les contrats Cloud
Mettre en oeuvre les bonnes pratiques de sécurité dans le Cloud
Décrire les techniques de sécurisation réseau du Cloud
Reconnaître les problématiques de sécurisation des environnements de développeurs dans le Cloud.

METHODES PEDAGOGIQUES

6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
Remise d’une documentation pédagogique papier ou numérique pendant le stage
La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions

METHODES D'EVALUATION DES ACQUIS

Auto-évaluation des acquis par le stagiaire via un questionnaire
Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert Cloud

CONTENU DU COURS Cloud

1 - Sécurité du Cloud Computing

2 - Introduction

Fondamentaux du Cloud Computing
En quoi la sécurité du Cloud est-elle différente de celle dans l’entreprise ?
Retour sur les aspects fondamentaux de la sécurité : confidentialité, intégrité, disponibilité, traçabilité
Principes généraux de sécurité : SMSI, PSSI
Identification et classification des données externalisables
Processus de gestion des risques ISO 27005
Approches qualitatives et quantitatives
Les principales menaces dans le Cloud
Les différences entre les contrats d’infogérance et les contrats Cloud
Les matrices de responsabilité
Gérer et garantir la localisation, le transfert et la sécurité des données, la confidentialité
La dilution des responsabilités

3 - La sécurité des infrastructures virtuelles aujourd'hui

La gestion de la sécurité des environnements virtuels "traditionnels"
Les menaces et risques actuels et les techniques de sécurisation associées
L’impact de l’hyperviseur, du stockage et de la virtualisation du réseau

4 - Introduction à la sécurité du Cloud

Les organismes aux différentes échelles : CNIL, ANSSI, ENISA, Cloud Security Alliance, ISO…
Les grandes réglementations : HDS, directives européennes…
Les certifications : ISO 27001, 27002, 27005, 27018

5 - Exemple de travaux pratiques (à titre indicatif)

Présentation d’une architecture virtuelle dans un contexte client : comment la sécuriser avec les techniques traditionnelles ?

6 - Les risques identifiés

8 - Les principaux risques dans le Cloud

Les risques stratégiques et organisationnels
Les risques techniques
Les risques juridiques
Autres risques identifiés

9 - Traitement et réduction des risques

Actions de réduction organisationnelle des risques
Actions de réduction techniques des risques
Actions liées aux risques et opportunités ISO 27001

10 - Aspects juridiques : le contrat Cloud

12 - Les contrats : généralités

Les clauses clés du contrat : SLA, support, sécurité, facturation, transitions, pénalités, continuité de service…
Les clauses d’auditabilité
Les Cloud auditors et les APM
La réversibilité ou comment changer de provider ?
L’interopérabilité du Cloud

13 - Les SLA

Les SLA techniques
Exemples de SLA de contrats Cloud
Les SLA opérationnels

14 - La tarification et les licences

Vers un nouveau modèle de coûts Capex / Opex
L’impact sur les licences logicielles de l’entreprise
Comment gérer les licences en environnement hybride ?
Les outils des providers (Amazon, Azure…) et les outils spécifiques (RightScale…)

15 - Exemples de travaux pratiques (à titre indicatif)

Etudes de cas : Le contrat de Salesforce
Etudes de cas : La fédération d’identités avec Office 365

16 - Les bonnes pratiques de sécurité dans le Cloud

17 - Sécurisation de l'infrastructure du Cloud

La gestion des mots de passe : cryptologie
La sécurité des données : chiffrement
La sécurité physique et environnementale
Contrôle d’accès et gestion des identités

18 - Opération et exploitation des SI

Gestion des changements
Séparation des environnements
Sauvegarde des environnements
Journalisation des évènements

19 - Continuité d'activité

Les normes de Data Center : Uptime Institut et tier I à IV
PRA / PCA et/dans le Cloud
Redondance des ressources et des équipements

20 - Acquisition, développement et maintenance des SI

Politique de développement
Développement externalisé

21 - Tiers et ressources humaines

La rupture contractuelle
Procédures d’entrée et de sortie

22 - Gestion de la gouvernance dans le(s) Cloud

Evolution de la DSI et nouvelle organisation
Les outils pour la DSI
Les Cloud Management Platforms

23 - Les technologies de sécurité adaptées au Cloud

Couche applicatives : protection Firewall, NIPS, NIDS, filtrage Web, CASB, SASE…
Protection des points de terminaison : antivirus, HIDS, HIPS, EDR…

24 - La sécurité du réseau dans le Cloud

25 - Sécurité des flux

L’impact de la virtualisation du réseau
La micro-segmentation
Distributed firewall
Le cas de VMware NSX

26 - La sécurité entre les Clouds

Les offres de VPN des providers
L’interconnexion des applications SaaS avec des données situées dans l’entreprise
Les possibilités d’interconnecter vos équipements à ceux du Cloud provider

27 - Identity as a Service

Base de l’IAM
Sécurité des accès : L’impact de la multiplication des applications SaaS
Gestion et fédération de l’identité
L’évolution vers le Identity as a Service : Acteurs : Okta, Ping Identity, Azure AD

29 - Sécurité de l'écosystème du développeur dans le Cloud

30 - L'écosystème DevOps

Les fondamentaux du DevOps
Les outils clés
Infrastructure as Code et automatisation : Principes et intérêt (exemple avec Ansible)
Les conteneurs : Compréhension d’une image de conteneur