Cloud Computing Security Assessment

Sécurisation de votre environnement dématérialisé

Etapes suivantes :

Overview

L'informatique dématérialisée (« cloud computing ») offre plusieurs avantages majeurs aux entreprises, dont la réduction des coûts, l'automatisation, l'indépendance vis-à-vis du matériel, une disponibilité élevée et une souplesse accrue. L'utilisation de cette technologie bouleverse également le paysage des risques et n'est pas sans incidence sur des domaines aussi divers que la confidentialité, la vie privée, l'intégrité, la conformité réglementaire, la disponibilité et les preuves électroniques, de même que les réponses aux incidents et les analyses post-mortem. Dès lors, il est essentiel de veiller à ce que les contrôles de sécurité adéquats soient en place.

Principaux avantages

  • Transition aisée vers les services dématérialisés
    Evitez les pièges de sécurité lorsque vous aiderez vos clients dans leur transition vers des services dématérialisés. Foundstone se charge de la conception, de l'implémentation et de l'évaluation d'une solution dématérialisée qui répond aux exigences de sécurité de vos clients.
  • La garantie pour vos clients d'une solution dématérialisée sécurisée
    Evaluez la sécurité de l'environnement physique et des applications de votre solution dématérialisée. Les sociétés ou entreprises d'hébergement qui hébergent leurs propres produits ou solutions peuvent rassurer les clients et les partenaires commerciaux quant à la sécurité. Après l'évaluation, Foundstone fournit une lettre d'attestation que vous pouvez communiquer à vos clients actuels et à venir afin de leur fournir l'assurance que votre solution dématérialisée a été conçue dans le respect des meilleures pratiques et exigences de sécurité.
  • Recommandations sur les mesures à prendre
    Dans le cadre de la mission, vous recevez le rapport complet de l'évaluation Cloud Computing Assessment, comprenant une fiche récapitulative et des recommandations sur les mesures à prendre, ainsi qu'une une lettre d'attestation à l'intention de vos clients et partenaires commerciaux. Vous bénéficiez en outre d'un atelier d'une demi-journée sur les résultats de l'évaluation et leur analyse.

Methodology

L'étude Cloud Computing Security Assessment de Foundstone porte sur les principales architectures d'informatique dématérialisée, à savoir des services en ligne d'infrastructure (Infrastructure-as-a-Service - IaaS), de plate-forme (Platform-as-a-Service - PaaS) et de logiciels (Software-as-a-Service - SaaS).

Que vous soyez un fournisseur de services dématérialisés ou une société d'hébergement en nuage privé, Foundstone crée un contrat de mission personnalisé pour évaluer la sécurité physique et des applications de l'implémentation. Foundstone fournit ensuite une lettre d'attestation que vous pouvez communiquer à vos clients actuels et à venir afin de leur fournir l'assurance que votre solution dématérialisée est sécurisée.

La méthodologie de Foundstone appliquée à chaque mission repose sur notre approche d'évaluation globale, laquelle inclut les éléments suivants :

Evaluation de l'architecture et de la conception
Dans l'étape d'évaluation de l'architecture et de la conception, les consultants Foundstone analysent les éléments suivants :

  • Topologie réseau
  • Actifs clés
  • Exploitation et stockage des données
  • Postes clients d'entrée et de sortie dans le système
  • Frontières des relations d'approbation
  • Contrôles d'accès
  • Isolement du réseau et des systèmes
  • Contrôles administratifs pour le fournisseur de technologies dématérialisées
  • Contrôles administratifs pour le propriétaire de l'entreprise

Evaluation de la sécurité de l'infrastructure dématérialisée
Lors de cet examen, les consultants Foundstone examinent le réseau logique, les applications et les services hébergés fournis via Internet. L'évaluation porte sur les domaines suivants :

  • Intrusions internes et externes
  • Intrusions au niveau des applications ou des produits
  • Configuration de la sécurité des hôtes
  • Sécurité des pare-feux
  • Sécurité du réseau virtuel privé et de l'accès distant
  • Sécurité physique
  • Attaques et intrusions
  • Extraction d'informations
  • Vols de données et nettoyage

Etude de la gouvernance, des politiques et des procédures
Il se peut que les politiques, procédures et réglementations mises en œuvre par votre organisation ne respectent pas toujours les meilleures pratiques de sécurité. Les politiques et procédures du fournisseur sont comparées aux meilleures pratiques du secteur et aux exigences de conformité réglementaires propres à votre entreprise. En fonction des résultats, il est possible d'élaborer des politiques, des procédures et des contrats de services destinés à pallier les écarts identifiés. Les domaines couverts par cette étude sont les suivants :

  • Examen des accords de niveau de service et des contrats
  • Gestion des informations et des preuves électroniques
  • Gestion du cycle de vie des données et des informations
  • Audit et conformité
  • Gestion de la continuité des activités et de la reprise après sinistre
  • Intégrité des informations et assurance de confidentialité
  • Procédures de gestion de l'accès, de l'administration et des opérations
  • Gestion des interventions sur incident et analyses post-mortem

La gestion de tous les projets Foundstone repose sur notre processus SEP éprouvé (Security Engagement Process, processus en matière de mission de sécurité). Une communication suivie avec votre entreprise constitue un aspect essentiel de ce processus qui garantit le bon déroulement de la mission. La durée de la mission dépend de l'importance et de la nature de votre projet d'informatique dématérialisée et des limites du projet.