Téléchargez le parcours au format PDF
Partager
Accueil › Formations › Informatique › Cloud › Cloud privé et hybride / Multi-Cloud › Sécurité opérationnelle dans le Cloud
Public concerné
Administrateurs systèmes, devOps, responsables de la sécurité des SI (RSSI), architectes Cloud, chefs de projets IT, ingénieurs réseau et sécurité, exploitants d'infrastructures Cloud.
Prérequis
Avoir les connaissances fondamentales du Cloud (modèles de services et de déploiement) ainsi que les bases en sécurité des systèmes d'information (réseaux, authentification, chiffrement...).
Objectifs de formation
A l'issue de cette formation, vous serez capable de :
- Identifier les principaux risques de sécurité liés aux environnements Cloud hybrides et multi-Cloud
- Analyser les enjeux juridiques et contractuels d'un projet Cloud
- Mettre en oeuvre les bonnes pratiques de sécurisation de l'infrastructure Cloud
- Configurer des dispositifs de sécurité réseau dans un environnement virtualisé
- Implémenter une stratégie IAM (gestion des identités et des accès) adaptée au Cloud
- Intégrer la sécurité dans les pipelines DevOps (DevSecOps).
Programme de votre formation
-
#
M2I START AVANT VOTRE FORMATION
Contextualisation du projet de formation et prise en compte des besoins de chacun
- Positionnement initial de l’apprenant par rapport aux objectifs
- Définition des priorités et des objectifs personnels de l’apprenant
- Vidéos de mise en situation
- Accès au Chat interactif myM2i pour interagir avec les membres de son groupe
-
#
M2I LIVE VOTRE FORMATION ANIMÉE PAR NOTRE EXPERT ¹
Programme
Jour 1 - Matin
Fondamentaux de la sécurité Cloud
Enjeux et spécificités de la sécurité dans le Cloud
- Cloud vs SI classique : quelle évolution des périmètres de sécurité ?
- Confidentialité, intégrité, disponibilité, traçabilité... quelle sûreté de fonctionnement dans le Cloud Computing
- Les modèles de responsabilités partagées entre Cloud Provider et Cloud Consumer
- Enjeux de sécurité liés au Cloud Computing
Quels référentiels et cadres règlementaires de sécurité
- Normes ISO 27001, 27005, 27017, 27018...
- Référentiels de sécurité : CSA CCM, ENISA CSF, ISAE3402, SOC 2 / 3, NIST SP 800-XXX, NIS2, DORA...
- Qu'en dit l'ANSSI... avec le SecNumCloud ?
- Que dire de l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) ? Objectifs et impacts
Introduction à la sécurité réseau dans le Cloud
- Un modèle en couches hérité à adapter au Cloud Computing (protections par couches)
- Une surface d'exposition élargie nécessitant une surveillance renforcée
- Virtualisation du réseau et micro-segmentation
- Notion de "Zero Trust Network Architecture" dans le Cloud
Exemples de travaux pratiques (à titre indicatif)
- Etude de cas : analyser une architecture Cloud sur la base du modèle partagé, cartographie des responsabilités et évaluation des zones critiques de sécurité
- Analyser les principales menaces et vulnérabilités dans le Cloud Computing
Jour 1 - Après-midi
Analyse des risques et sécurité réseau avancée
Cartographie et typologie des risques Cloud
- Quelle cartographie des risques du Cloud Computing ?
- Les risques techniques et technologiques : failles et vulnérabilités, erreurs de configuration...
- Les risques organisationnels et juridiques : dépendance, non-conformité, juridictionnels...
- Quels sont les risques liés au Shadow IT ?
- Quelques exemples de menaces : hyperviseur, API, latéralisation...
Gestion des flux et interconnexions réseau Cloud
- Les enjeux de la sécurisation des flux réseaux dans le Cloud Computing
- Typologies des interconnexions et risques associés (Cloud-to-Cloud et Cloud-to-OnPremise)
- VPN, firewalls Cloud native et distribués, micro-segmentation et SASE (Secure Access Service Edge)
- Notions d'hybridation et sécurisation des flux inter-applications notamment pour les applications Cloud natives et architectures orientées micro services
Exemples de travaux pratiques (à titre indicatif)
- Evaluer les menaces sur un système hybride et cartographier les flux sensibles, matrice des risques associés
- Analyser des intrusions exploitant des menaces et des vulnérabilités liées au Cloud Computing
Jour 2 - Matin
Aspects juridiques et gestion des identités (IAM)
Contrats Cloud et conformité juridique
- Contrats SaaS / IaaS / PaaS vs infogérance
- Clauses : SLA, sécurité, réversibilité, auditabilité, pénalités, coûts, cadre règlementaire...
- Outils contractuels : Cloud Auditor, grilles de conformité...
- Quelles exigences de sécurité pour des applications SaaS ?
IAM (Identity et Access Management) dans le Cloud
- Fondamentaux de l'IAM dans le Cloud Computing
- RBAC, ABAC, gestion du cycle de vie des identités
- Fédération d'identités : SAML, OIDC, ADFS, Entra ID (ex. Azure AD)
- Gestion des accès multi-Cloud et outils : Okta, Ping Identity, OneLogin...
Exemples de travaux pratiques (à titre indicatif)
- Analyser, de manière critiques, des contrats d'applications SaaS
- Mettre en place une fédération d'identités inter-applicative, définir la liste des protocoles et connecteurs nécessaires
Jour 2 - Après-midi
Sécurité opérationnelle et gouvernance technique
Exploitation sécurisée d'un environnement Cloud
- Cloisonnement des environnements de prod / dev / test / sandbox...
- Journalisation, alerting et traçabilité
- Continuité et reprise d'activité PCA / PRA et sauvegardes, réplication, redondance
- Gouvernance du cycle de vie, audit et gestion de l'obsolescence : tags, CMDB, SAM...
Observabilité et gouvernance technique
- Observabilité Cloud : gestion de la supervision, du traçing et des logs...
- Les Cloud Management Platforms (CMP) : gestion multi-Cloud, configuration, coûts et sécurité
- Tableaux de bord : sécurité et indicateurs clés
- La gestion des incidents dans le Cloud et intégration avec les outils d'ITSM
- Gouvernance des rôles et rersponsabilité (rôle de la DSI, DevOps, SecOps...) : de l'importance d'un RACI clair et partagé
Exemples de travaux pratiques ( à titre indicatif)
- Déployer un environnement IaaS sécurisé avec mécanismes de supervision, configuration de sauvegardes et tableau de suivi sécurité
- Définir les outils à utiliser dans une Landing Zone sécurisée pour une application hébergée chez un Cloud Provider public
Jour 3 - Matin
Sécuriser les applications Cloud Native : Build et Deploy
Build – Intégrer la sécurité dès le développement et la construction
- Qu'est-ce que le DevSecOps ? Pourquoi adopter une posture shift left ?
- Sécurité dans le code : SAST, analyse de dépendances, politiques de codage sécurisé
- Construction d'images de containers : minimisation, durcissement, gestion des UID, bonnes pratiques de Dockerfile
- SBOM (Software Bill of Materials) : intérêt, outils (Syft, CycloneDX), automatisation
- CNAPP et scanners de build (Trivy, Grype, Checkov...) : premiers contrôles dès le commit
Deploy – Sécuriser l'Infrastructure as Code et les déploiements CI/CD
- Risques liés à l'IaC : quelles vulnérabilités fréquentes dans les fichiers Terraform, Ansible...?
- Scanners IaC : tfsec, Checkov, KICS, intégration dans le pipeline
- Sécurisation des secrets et configurations (Vault, SOPS, Sealed Secrets)
- GitOps sécurisé : auditabilité, contrôle des merges, GitOps pull vs push
- CI/CD sécurisé : signature d'image, scan automatique, contraintes de conformité
- Admission controllers Kubernetes (OPA / Gatekeeper, Kyverno) : bloquer les déploiements non conformes
Exemples de travaux pratiques (à titre indicatif)
- Réaliser une analyse de sécurité sur image Docker avec Trivy et construire une pipeline CI/CD intégrant des scanners IaC et un contrôleur d'admission
Jour 3 - Après-midi
Sécuriser les applications Cloud Native : Run et Respond
Run – Durcir et surveiller la plateforme d'exécution
- Sécurité des containers : moteur containerd / CRI-O, isolation, exécution en rootless, readonly FS
- Sécurité des noeuds : OS minimal (Talos, Bottlerocket, Flatcar), activation de seccomp, AppArmor, SELinux
- Sécurité native Kubernetes : RBAC et Network Policies, Security Contexts et PodSecurity Standards (PSS)
- Gestion des secrets, journaux et audit logs...
- Intégration d'un service mesh (Istio, Linkerd) pour sécuriser les communications
Respond – Observer, détecter, réagir en cas d'incident
- Quelles traces et signaux surveiller : logs, métriques, évènements runtime ?
- Outils de détection et réponse : Falco (eBPF), Audit Logs K8s, Prometheus, Loki
- Intégrer un CNAPP ou SIEM Cloud native pour corréler et alerter
- Bonnes pratiques de réponse : rollback GitOps, rotation de secrets, pause de workloads
- Chaos Engineering pour valider la résilience sécuritaire
Exemples de travaux pratiques ( à titre indicatif)
- Déployer une application sur K8S avec RBAC, PSS et NetworkPolicy et détecter un comportement anormal avec Falco et rollback GitOps
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
-
#
M2I BOOST APRÈS VOTRE FORMATION
Réactivation et consolidation des acquis en situation de travail
- 30 jours d’accompagnement personnalisé sur myM2i inclus ²
- Ressources Boosters (Abonnement au M2i’Mag Soft Skills, formations offertes, invitations aux conférences d’actualité…)
- ¹ Les actions et les outils présentés dans ce programme le sont à titre indicatif et peuvent faire l’objet d'adaptation selon les niveaux, prérequis et besoins des apprenants. Les compétences clés de ce programme sont traitées à raison d'une compétence par demi-journée de formation.
- ² Sur myM2i, pendant 30 jours post-fin de formation, les apprenants disposent d’une messagerie sécurisée pour échanger, dans la limite de 4 sollicitations, avec leur formateur.
Modalités, méthodes et moyens pédagogiques
Formation délivrée en présentiel ou distanciel* (blended-learning, e-learning, classe virtuelle, présentiel à distance).
Le formateur alterne entre méthode** démonstrative, interrogative et active (via des travaux pratiques et / ou des mises en situation).
Variables suivant les formations, les moyens pédagogiques mis en oeuvre sont :
- Ordinateurs Mac ou PC (sauf pour certains cours de l'offre Management), connexion internet fibre, tableau blanc ou paperboard, vidéoprojecteur ou écran tactile interactif (pour le distanciel)
- Environnements de formation installés sur les postes de travail ou en ligne
- Supports de cours et exercices
En cas de formation intra sur site externe à M2I, le client s'assure et s'engage également à avoir toutes les ressources matérielles pédagogiques nécessaires (équipements informatiques...) au bon déroulement de l'action de formation visée conformément aux prérequis indiqués dans le programme de formation communiqué.
* nous consulter pour la faisabilité en distanciel
** ratio variable selon le cours suivi
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Accessibilité de la formation
Le groupe M2I s'engage pour faciliter l'accessibilité de ses formations. Toutes nos formations sont accessibles aux personnes en situation de handicap : les détails de l
Modalités et délais d’accès à la formation
Les formations M2I sont disponibles selon les modalités proposées sur la page programme. Les inscriptions sont possibles jusqu'à 48 heures ouvrées avant le début de la formation. Dans le cas d'une formation financée par le CPF, ce délai est porté à 11 jours ouvrés.
