Le Cloud Computing permet aux entreprises de simplifier la gestion du SI et de faire des économies, mais il inquiète au niveau sécurité. Cette formation très riche explique comment évaluer les risques (notamment réglementaires) et quelles solutions mettre en place pour relever le défi en matière de cybersécurité.
Formation dans vos locaux, chez nous ou à distance
Réf. CCG
3j - 21h
Vous souhaitez transposer cette formation, sans modification, pour votre entreprise ?
Formation à la carte
Vous souhaitez une formation adaptée aux spécificités de votre entreprise et de vos équipes ? Nos experts construisent votre formation sur mesure !
Le Cloud Computing permet aux entreprises de simplifier la gestion du SI et de faire des économies, mais il inquiète au niveau sécurité. Cette formation très riche explique comment évaluer les risques (notamment réglementaires) et quelles solutions mettre en place pour relever le défi en matière de cybersécurité.
Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Apprendre à sécuriser les environnements virtuels et les accès réseau au Cloud
Évaluer et gérer les risques du Cloud Computing selon la norme ISO 27005
Contrôler et superviser la sécurité du Cloud
Apprendre les aspects juridiques et la conformité réglementaire
Connaissances de base des modèles Cloud SaaS, PaaS, IaaS, et de la sécurité informatique. Notions de management de projet.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisantce test.
Programme de la formation
Introduction à la sécurité du Cloud Computing
Définition du Cloud Computing (NIST) et norme ISO 17788.
Les principaux fournisseurs et les principales défaillances déjà constatées.
Les offres de SecaaS (Security as a Service).
Les clés d'une architecture sécurisée dans le Cloud.
La sécurité des environnements virtuels
Les risques liés à la virtualisation des serveurs (VM Escape, VM Hopping, VM Theft et VM Sprawl).
La problématique de la protection anti-malware dans une infrastructure virtualisée.
Les risques liés aux vulnérabilités, aux API et aux logiciels (Openstack, Docker, VmWare...).
La sécurité des accès réseaux au Cloud
Les accès sécurisés via Ipsec, VPN, https et SSH.
Les solutions spécifiques d'accès au Cloud (Intercloud, AWS Direct connect...).
Les solutions CASB (Cloud Access Security Broker).
Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs.
Les travaux de la Cloud Security Alliance (CSA)
Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing.
Les douze principales menaces identifiées dans le Cloud.
Le framework OCF et l'annuaire STAR (Security, Trust & Assurance Registry).
Comment utiliser la Cloud Controls Matrix (CCM) et le questionnaire CAIQ ?
La certification des connaissances en sécurité du Cloud : CCSK (Certificate of Cloud Security Knowledge).
La sécurité du Cloud Computing selon l'ENISA
Evaluation et gestion des risques du Cloud par la norme ISO 27005.
Les trente-cinq risques identifiés par l'ENISA.
Les recommandations ENISA pour la sécurité des Clouds gouvernementaux.
Contrôler la sécurité du Cloud
Comment contrôler la sécurité dans le Cloud : audit, test d'intrusion, qualification, certification ?
Que valent les labels de sécurité Secure Cloud, CSA STAR et Cloud confidence ?
Comment opérer un contrôle continu de la sécurité pendant toute la durée du contrat ?
Comment sont détectés et notifiés les incidents de sécurité dans le Cloud ?
Le contrat Cloud
Les clauses de sécurité indispensables à insérer dans un contrat de Cloud (comité de suivi, confidentialité...).
Les clauses de réversibilité (amont & val) pour ne pas se faire piéger par un fournisseur.
La clause d'audit de sécurité : peut-on toujours la négocier ? Comment faire dans un Cloud public ?
L'importance de la localisation des données et de la juridiction retenue.
Les accords de service dans le Cloud (SLA).
Pénalités et indemnités : bien comprendre les différences.
Aspects juridiques et conformité réglementaire
Quelles sont les responsabilités juridiques du fournisseur ? Quid des sous-traitants du fournisseur ?
La nationalité du fournisseur et la localisation des Datacenters.
Le cadre juridique des données à caractère personnel (Directive 95/46 CE, GDPR, CCT, BCR...).
Après l'annulation du « Safe harbor », quelles sont les nouvelles garanties apportées par le « Privacy Shield » ?
Le point sur l'USA Patriot Act. Menace-t-il les données dans le Cloud à l'extérieur des USA ?
Le cadre juridique des données de santé à caractère personnel (loi du 26 janvier 2016).
Les hébergeurs de données de santé (agrément ASIP, obligations de sécurité, localisation des données, etc.).
Les normes de sécurité dans le Cloud
Que vaut la certification de sécurité ISO 27001 affichée par les fournisseurs ?
Les normes ISO/IEC 17788:2014 (vocabulaire) et ISO/IEC 17789:2014 (architecture de référence).
Les nouvelles normes ISO/IEC (27017 & 27018) dédiées à la sécurité dans le Cloud.
Quel apport de la norme ISO 27018 pour la protection des données personnelles dans le Cloud ?
La norme ISO 27017 et son complément idéal CSA Cloud Control Matrix.
La gestion des licences dans le Cloud
Comprendre pourquoi la gestion des licences est plus complexe dans le Cloud.
Comment assurer la conformité ?
Les limites des outils de gestion des actifs logiciels (Software Asset Management) dans le Cloud.
Réaliser l'inventaire et faire le rapprochement entre les licences installées, acquises et utilisées dans le Cloud.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
Avis clients
4,4 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
HERVÉ P.
05/03/24
3 / 5
Je m’attendais a autre chose. Le formateur connait très bien les domaines d’architectures mais pour celle là je ne pense pas qu’il était adapté.C’est dommage.
Concernant le support, ça manquait d’exemple et de mise a jour des documents. Une fois de plus, ce n’est pas la qualité technique du formateur que je remets en cause, mais l’inadequation avec le thème de la formation.
KARIMA M.
05/03/24
3 / 5
Les supports contiennent pour la majorité des schémas, sans cohérence et sans cheminement avec les objectifs de la formation.
Le formateur a des compétences techniques (architecte) donc moins de contenu sur l’aspect gouvernance et contractuel.
S’agissant de la sécurité, il manquait les points importants à prendre en compte avant de choisir une solution cloud.
L’exemple sur l’analyse de risque "formation" avec la présentation d’un support et la définition
BERTRAND M.
05/03/24
4 / 5
Bon formateur, support de cours perfectible (fautes / pages manquantes)
Contenu interessant mais manque de profondeur sur les détails liés à la sécurité du cloud
FABIEN G.
07/11/23
5 / 5
Formation très complète et le formateur très pédagogue
CHRISTOPHE B.
07/11/23
4 / 5
C’est le bon niveau pour appréhender le Cloud
STÉPHANE B.
07/11/23
4 / 5
Le contenu était intéressant mais je m’attendais à une application beaucoup plus concrète des gouvernances comme, par exemple, sous Azure comment mettre en place certaines gouvernances. Cette formation était trop orienté théorique et pas suffisamment pratique pour m’être vraiment utile
STEPHEN A.
26/09/23
5 / 5
Quelques ateliers avec accès à des consoles CSP aurait été intéressant.
SAMUEL C.
26/09/23
5 / 5
Cours très accessible, explications claires et détaillées.
Très bon intervenant.
ACHER E.
26/09/23
4 / 5
Une liste de solutions de sécurité natives sur GCP, AWS et AZURE serait très appréciables à avoir, en complément du support de cours.
GUILLAUME D.
26/09/23
4 / 5
Formateur très à l’écoute, intéressant et compétent. Le contenu du cours est adapté il pourrait juste intégrer quelques démonstrations en plus sur des interfaces de sécurité cloud
DIDIER D.
26/09/23
4 / 5
Problème d’impression du support
ANTOINE T.
26/09/23
5 / 5
Très bon formateur rien à redire
MARTINE D.
04/07/23
4 / 5
contenu et animation très satisfaisants malgré quelques pertes de connexions.
la formation à distance limite toutefois les échanges entre participants mais avec 3 personnes cela n’a pas été un frein.
THOMAS D.
30/05/23
5 / 5
Le support papier était différent de celui présenté par le formateur
Et 3 jours n’ont pas été suffisant pour nous fournir une nouvelle version papier à jour
DIDIER B.
30/05/23
4 / 5
Cours bien animé mais très dense
SOPHIE K.
30/05/23
5 / 5
Nous avons demandé sans succès le support de cours imprimé dans sa version à jour
TONI M.
30/05/23
4 / 5
Support de formation papier n’est pas à jour.
VERDIN G.
07/03/23
5 / 5
Point échanger lors de la restitution, prévoir un cas d’étude à garder en fils rouge tout au long de la formation.
Un cas d’étude "concret", une entreprise présente en europe.
Dans un premier temps, identifier les riques, les menaces...etc.
Prévoirle rachat ou la création d’une filiale en asie ou en amérique, voir les impacts juridiques, les choses à mettre en place, à vérifier
EL MAHDI A.
09/01/23
5 / 5
Support simple et claire
Ordonnancement des thématiques
OLIVIER C.
09/01/23
5 / 5
Formation particulièrement intéressante, riche, documentée et présentée. Merci et bravo Anthony !
BORIS M.
09/01/23
5 / 5
Le contenu pédagogique devrait être réactualisé par Orsys.
Exemple : pourquoi aborder en 2023 une analyse de risques de l’ENISA qui date de 2009 ?
On ne parle pas/peu de Cloud souverains vs Cloud de confiance.
On ne parle pas/peu des approches de sécurité modernes type CWPP, CSPM ou encore SSPM.
Le Cloud étant un sujet qui évolue très rapidement, les programmes de formation doivent être réactualis
PIERRE-ALEXANDRE B.
25/10/22
5 / 5
Contenu complet, modules cohérents et adaptés
Formateur très impliqué, à l’écoute, et maîtrise son sujet, RAS !
BLAISE R.
25/10/22
5 / 5
Bonne alternance entre les phases de cours et les évaluations de connaissance
FABRICE C.
25/10/22
4 / 5
++ Intéressant.
++ Partie architecture Cloud
JEAN-YVES A.
25/10/22
5 / 5
Scope complet, animation dynamique et adaptée au contenu
JEROME D.
25/10/22
3 / 5
Frustration entre survol et discussion trop détaillée par rapport au sujet
THIBAULT S.
25/10/22
4 / 5
Couvre bien les concepts/points d’attention.
Ne couvre pas la parties implémentation (pourrait donner lieu à une autre formation).
BERTRAND C.
23/08/22
5 / 5
RàS sur fond, peut-être un peu sur la forme mais rien de grave.
A noter la bonne prise de recul du formateur Jessy
GUILLAUME G.
23/08/22
5 / 5
quiz intéressants, bonne interactivité entre le contenu.
OLIVIER J.
23/08/22
4 / 5
Bonne maitrise du sujet par l’intervenant. Formation avec de l’interaction (retour d’expérience, anecdotes) et pas uniquement théorique ce qui est très positif. Bonne vue d’ensemble de la thématique. Le support mériterait d’être relu après la formation car les informations sont intéressantes sont nombreuses.
ALAIN N.
23/08/22
4 / 5
Répartition des démos / théoriques,
ARNAUD P.
21/06/22
4 / 5
Donne une bonne vision globale. Permet de s’orienter pour approfondir ensuite les domaines
BENOÎT C.
21/06/22
4 / 5
Très intéressant, mais j’aurais aimé avoir un rappel sur les éléments de sécurisation en tant que tel (FW, SDWAN, MPLS, AntiVirus, Malware, ...)
BERTRAND L.
21/06/22
5 / 5
Attention à l’orthographe dans les supports. Je peux fournir une relecture si vous le souhaitez !?!
DIMITRI H.
21/06/22
4 / 5
Peu de technique, très (trop) théorique , sauf pour la partie DNS.
NICOLAS L.
21/06/22
4 / 5
J’aurais souhaité rentrer plus dans le détails de la sécurisation des environnements virtuels et des accès réseaux au Cloud.
J’aurais souhaité être moins abstrait sur le contrôle de la sécurité du Cloud.
CENA .
21/06/22
5 / 5
Formateur très pédagogique. Cours dynamique
FABRICE J.
21/06/22
5 / 5
Le support n’était pas imprimé dans la bonne version.
Légère amélioration possible : une table des matières permettrait de mieux cerner le plan + numéros de pages sur les transparents
MARINA A.
21/06/22
5 / 5
Bon animateur bonnes connaissances techniques et bon partagés de connaissances
JOHNNY T.
21/06/22
4 / 5
Le cours est très bon et très complet, c’est très dense mais le formateur prend quand même le temps d’intéragir avec les stagiaires et le temps de répondre aux questions
MEZAZ HAKIM E.
21/06/22
3 / 5
Support à jour reçu la dernière demi heure du dernier jour.
Peu d’exemples concrets de la vie d’entreprise.
MELISSANDE L.
21/06/22
5 / 5
Formateur pédagogue et motivé
VICTOR R.
08/03/22
5 / 5
Le contenu est dense, mais c’est normal considérant le sujet.
Les interactions avec l’intervenant a été très intéressant, l’implication se ressentait et on relatait beaucoup par des expériences vécues.
ERIC C.
08/03/22
5 / 5
Le contenu est important à appréhender.
Equilibre théorie /pratique à améliorer
FREDERIK L.
08/03/22
5 / 5
Contenu très riche, agrémenté de nombreux exemples et retours d’expérience. Nécessite de se plonger dans la documentation pour bien comprendre tous les aspects et ce que les normes et régulations impliquent
LOUIS C.
08/03/22
5 / 5
Présentation riche et exhaustive. Bien illustrée par des expériences personnelles du formateur.
ERIC B.
08/03/22
5 / 5
Formation très agréable. Sujet très riche. Formateur très compétent, connaissant parfaitement le sujet.
SÉBASTIEN H.
25/01/22
4 / 5
Bon pédagogue avec une tres bonne connaissance sur les normes ISO. Durant ces 3 jours, les tests réguliers pour verifier les connaissances ont été tres appréciés. Cours recommandé.
SOYEZ MARIE D.
25/01/22
4 / 5
formation trop généraliste
THOMAS C.
25/01/22
4 / 5
Malgré une petite incompréhension sur le contenu de la formation, elle est restée très intéressante, les sujets approfondis au bon niveau, tout en gardant assez de temps pour discuter des spécificités de la situation de chacun
MOUDJIH J.
25/01/22
5 / 5
Le support de cours (ancienne version) ne correspondait pas au support utilisé par le formateur. CE qui ne permettait pas de bien suivre.