Objectifs pédagogiques / Compétences visées
- Appliquer les mesures de sécurité Cloud
- Reconnaître les stratégies de déploiement sécurisé dans le Cloud
- Identifier les méthodologies de tests d'intrusion dans le Cloud
- Effectuer des tests d'intrusion dans le Cloud
- Sécuriser vos infrastructures Cloud.
Niveau requis
Avoir des connaissances de base des systèmes, réseaux, Cloud et en cybersécurité est préférable.
Public concerné
Directeurs du système d'information ou responsables du service informatique, responsables et chefs de projets, pentesteurs, auditeurs, architectes réseaux et systèmes ou toute personne en charge de la sécurité du Cloud Computing.
Programme
La sécurité des données dans le Cloud
- Les données dans le Cloud
- Cycle de vie
- Classification
- Anonymisation
- Pseudonymisation
- Tokenisation
- L'approches BYOK (Bring Your Own Key) et les solutions HSM dans le Cloud
- Le CASB (Cloud Access Security Broker)
- Principes
- Solutions
Les référentiels de la CSA (Cloud Security Alliance)
- Les 14 domaines du Security Guidance for Critical Areas of Focus in Cloud Computing
- La certification CCSK (Certificate of Cloud Security Knowledge)
- La CCM (Cloud Controls Matrix) et le CAIQ (Consensus Assessments Initiative Questionnaire)
- Le framework de certification OCF et l'annuaire STAR (Security, Trust and Assurance Registry)
- Le code de conduite RGPD (CoC GDPR) pour les fournisseurs
Les risques dans le Cloud Computing selon l'ENISA (European Network and Information Security Agency)
- Evaluation et gestion des risques du Cloud par la norme ISO 27005
- Les spécificités de la gestion des risques dans le Cloud
- Les principaux risques identifiés par l'ENISA
L'évaluation de la sécurité des fournisseurs
- Panorama des certifications / qualifications (SecNumCloud, SSAE18, HDS...)
- La certification de sécurité européenne issue du Cybersecurity Act
- Intérêts et limites de la certification ISO 27001 pour les services Cloud
Découverte, reconnaissance et architecture à grande échelle
- Méthodologie d'évaluation de sécurité dans le Cloud
- Conditions d'utilisation et points de démarcation
- Domaines et certificats pour l'énumération
- Découverte d'hôte avec Masscan et Nmap
- Git Mirroring
- Services et bases de données dans le Cloud
- Reconnaissance et découverte grâce au suivi visuel
Mappage, authentification et services Cloud
- API
- SDK Cloud
- AWS / IAM et privilèges
- Création et utilisation de listes de mots puissantes
- Transformer les jetons en accès
- Persistance via AWS / IAM
Azure et services Windows dans le Cloud
- Azure Active Directory
- VHD et clichés instantanés de volume
- SAML et Microsoft ADFS
- Conteneurs Windows
- Rôles Azure
- API Microsoft Graph
- Office 365
Vulnérabilités dans les applications natives du Cloud
- Découverte de métadonnées AWS / IAM
- Kubernetes et évasions
- Actions Travis CI et Git
- Mouvement latéral à travers des conteneurs
- Conteneurs privilégiés et non privilégiés
Exploitation et Red Team dans le Cloud
- Techniques de "Red Teaming" et méthodologies
- Techniques d'exploitation avancé dans le Cloud
- OWASP (Open Web Application Security Project) : le top 10
- Exploitation
- Azure AD
- De vulnérabilités AWS
- Test d'exposition
La sécurité des infrastructures et des plateformes de Cloud Computing
- Les composants de l'infrastructure du Cloud Computing
- Evaluation des risques de l'infrastructure du Cloud Computing
- Conception et planification des contrôles de sécurité
- Conception et déploiement de plan de reprise et de continuité des services et des métiers
La sécurité des applications de Cloud Computing
- Formation et sensibilisation de la sécurité autour des services du Cloud Computing
- Validation et assurance des solutions logicielles du Cloud Computing
- Utilisation des logiciels vérifiés et approbation des API
- SDLS (Symmetric Digital Subscriber Line) : cycle de vie du développement de la sécurité logicielle
- Les architectures applicatives du Cloud Computing
- Conception et déploiement d'une solution d'IAM (Identity and Access Management)
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)