EduGroupe accompagne les entreprises dans leurs projets de formation liée aux technologies informatiques
Formation Cloud – Gouvernance et sécurité
- Référence : CLOUD003
- Durée : 21 heures
- Certification : Non
- Eligible CPF : Non
CONNAISSANCES PREALABLES
- 1-Avoir des connaissances minimales sur le Cloud (caractéristiques, modèles de services, modèles de déploiement)
- 2-Avoir des bases en sécurité informatique et réseaux
- 3-Avoir également des notions de management de projet
PROFIL DES STAGIAIRES
- Cette formation Cloud s'adresse aux architectes, chefs de projets, ingénieurs informatique (réseau, système, développement...)
OBJECTIFS
- Décrire les éléments fondamentaux de la sécurité du Cloud
- Identifier et analyser les risques liés au Cloud
- Interpréter les contrats Cloud
- Mettre en oeuvre les bonnes pratiques de sécurité dans le Cloud
- Décrire les techniques de sécurisation réseau du Cloud
- Reconnaître les problématiques de sécurisation des environnements de développeurs dans le Cloud.
METHODES PEDAGOGIQUES
- 6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Cloud
CONTENU DU COURS Cloud
1 - Sécurité du Cloud Computing
2 - Introduction
- Fondamentaux du Cloud Computing
- En quoi la sécurité du Cloud est-elle différente de celle dans l’entreprise ?
- Retour sur les aspects fondamentaux de la sécurité : confidentialité, intégrité, disponibilité, traçabilité
- Principes généraux de sécurité : SMSI, PSSI
- Identification et classification des données externalisables
- Processus de gestion des risques ISO 27005
- Approches qualitatives et quantitatives
- Les principales menaces dans le Cloud
- Les différences entre les contrats d’infogérance et les contrats Cloud
- Les matrices de responsabilité
- Gérer et garantir la localisation, le transfert et la sécurité des données, la confidentialité
- La dilution des responsabilités
3 - La sécurité des infrastructures virtuelles aujourd'hui
- La gestion de la sécurité des environnements virtuels "traditionnels"
- Les menaces et risques actuels et les techniques de sécurisation associées
- L’impact de l’hyperviseur, du stockage et de la virtualisation du réseau
4 - Introduction à la sécurité du Cloud
- Les organismes aux différentes échelles : CNIL, ANSSI, ENISA, Cloud Security Alliance, ISO…
- Les grandes réglementations : HDS, directives européennes…
- Les certifications : ISO 27001, 27002, 27005, 27018
5 - Exemple de travaux pratiques (à titre indicatif)
- Présentation d’une architecture virtuelle dans un contexte client : comment la sécuriser avec les techniques traditionnelles ?
6 - Les risques identifiés
8 - Les principaux risques dans le Cloud
- Les risques stratégiques et organisationnels
- Les risques techniques
- Les risques juridiques
- Autres risques identifiés
9 - Traitement et réduction des risques
- Actions liées aux risques et opportunités ISO 27001
- Actions de réduction organisationnelle des risques
- Actions de réduction techniques des risques
10 - Aspects juridiques : le contrat Cloud
12 - Les contrats : généralités
- Les clauses clés du contrat : SLA, support, sécurité, facturation, transitions, pénalités, continuité de service…
- Les clauses d’auditabilité
- Les Cloud auditors et les APM
- La réversibilité ou comment changer de provider ?
- L’interopérabilité du Cloud
13 - Les SLA
- Les SLA techniques
- Les SLA opérationnels
- Exemples de SLA de contrats Cloud
14 - La tarification et les licences
- Vers un nouveau modèle de coûts Capex / Opex
- L’impact sur les licences logicielles de l’entreprise
- Comment gérer les licences en environnement hybride ?
- Les outils des providers (Amazon, Azure…) et les outils spécifiques (RightScale…)
15 - Exemples de travaux pratiques (à titre indicatif)
- Etudes de cas : Le contrat de Salesforce
- Etudes de cas : La fédération d’identités avec Office 365
16 - Les bonnes pratiques de sécurité dans le Cloud
17 - Sécurisation de l'infrastructure du Cloud
- La sécurité physique et environnementale
- Contrôle d’accès et gestion des identités
- La sécurité des données : chiffrement
- La gestion des mots de passe : cryptologie
18 - Opération et exploitation des SI
- Gestion des changements
- Séparation des environnements
- Sauvegarde des environnements
- Journalisation des évènements
19 - Continuité d'activité
- Les normes de Data Center : Uptime Institut et tier I à IV
- PRA / PCA et/dans le Cloud
- Redondance des ressources et des équipements
20 - Acquisition, développement et maintenance des SI
- Politique de développement
- Développement externalisé
21 - Tiers et ressources humaines
- Procédures d’entrée et de sortie
- La rupture contractuelle
22 - Gestion de la gouvernance dans le(s) Cloud
- Evolution de la DSI et nouvelle organisation
- Les outils pour la DSI
- Les Cloud Management Platforms
23 - Les technologies de sécurité adaptées au Cloud
- Couche applicatives : protection Firewall, NIPS, NIDS, filtrage Web, CASB, SASE…
- Protection des points de terminaison : antivirus, HIDS, HIPS, EDR…
24 - La sécurité du réseau dans le Cloud
25 - Sécurité des flux
- L’impact de la virtualisation du réseau
- La micro-segmentation
- Distributed firewall
- Le cas de VMware NSX
26 - La sécurité entre les Clouds
- Les offres de VPN des providers
- Les possibilités d’interconnecter vos équipements à ceux du Cloud provider
- L’interconnexion des applications SaaS avec des données situées dans l’entreprise
27 - Identity as a Service
- Base de l’IAM
- Sécurité des accès : L’impact de la multiplication des applications SaaS
- Gestion et fédération de l’identité
- L’évolution vers le Identity as a Service : Acteurs : Okta, Ping Identity, Azure AD
29 - Sécurité de l'écosystème du développeur dans le Cloud
30 - L'écosystème DevOps
- Les outils clés
- Infrastructure as Code et automatisation : Principes et intérêt (exemple avec Ansible)
- Les conteneurs : Compréhension d’une image de conteneur
- Les fondamentaux du DevOps
31 - Stratégies et normes
- Les critères communs
- Security by design
- Les douze règles de développement d’application Cloud Native
- Architecture sécurisée et principes de conception
32 - Sécurisation de l'écosystème - DevSecOps
- Technologies à sécuriser : Sécurisation des conteneurs
- Images et registre
- Isolation et sécurité réseau
- Bonnes pratiques : Sécurisation de l’orchestrateur
- Mise en contexte avec Kubernetes
- Contrôle des accès basé sur les rôles (RBAC)
- Projets complémentaires (CNCF)
