Klewel
Player is loading...

La sécurité au coeur de la transition vers le cloud
Eliel Mulumba & Adelite Uwineza Kazungu, Resp: Head of Operational Technology Security -- Cyber Awareness Specialist, EY

Friday, Sept. 1, 2023   ·   9:28 a.m.   ·   22m  08s

Embed

Copy embed code

Transcriptions

Note: this content has been automatically generated.
00:00:03
notons devient donc
00:00:07
john merci pour cette introduction versés aux cantons de genève pour
00:00:11
cette invitation merci au public votre intérêt concernant les sujets cloud security
00:00:18
donc je suis les moules en bas et c'est un plaisir avec
00:00:22
moi et mon collègue a des de pouvoir présenter des sujets de cloud security
00:00:27
donc on va nous a déjà présenté nous avons juste 15 minutes pour la présentation va directement passer à l'agenda
00:00:34
cela est
00:00:38
voici l'agenda qu'on a prévu pour aujourd'hui pendant la première partie de la
00:00:43
présentation aux nomades et montrer la valeur ajoutée
00:00:47
des entreprises voient dans la migration vers le cloud
00:00:51
pendant la deuxième et voit pendant la migration vers le cloud
00:00:55
et surtout aussi quelles sont les grands fournisseurs des clouds et caisson
00:01:01
comment le développement l'utilisation des clouds c
00:01:04
développer entre les années 2015 2022
00:01:08
pour la deuxième partie de la présentation aimerait voir les défis et solutions
00:01:13
ce qui concerne la platitude qui nous avons reçu vos questions hier soir
00:01:17
et a beaucoup parmi vous qui ont des questions sur tout ce qui concerne comme fly and did it puis à rennes depuis
00:01:23
ce que je dois utiliser amazon ou microsoft et pour terminer nous allant
00:01:30
voir à quoi ressemble l'émigration vers les clubs
00:01:37
donc en par là de lavage or valeur ajoutée et avec les
00:01:41
clouds voici les avantages que la plupart des entreprises vont en ce moment
00:01:46
d'abord cela business continuity la possibilité de réagir rapidement
00:01:50
et facilement à des pannes concernant les systèmes et réseaux
00:01:55
aujourd'hui comment on a une panne de dans nos réseaux
00:01:59
eux qui sont entraîne par exemple les catastrophes naturelles on voit que c'est
00:02:03
difficile d'avoir le bec a voir c'est difficile d'avoir des asturies calorique
00:02:08
il a cloud permet d'avoir tout cela en place et de réagir rapidement
00:02:13
sans vous font perdre beaucoup de temps prochain un avantage convoi ces big data
00:02:19
aujourd'hui on parle déjà du petit déjeuner avec le feu d'artifice l'intelligence
00:02:24
donc la cloud permet de gérer un grand nombre des data andré taille m à
00:02:30
travers des régions différents 0 un prochain davantage qu'on voit c'est quoi ce jeudi
00:02:37
voilà c'est l'un des plus grands davantage que sophie donc on paie ce dont
00:02:41
nous avons besoin quand nous avons besoin aujourd'hui quand p quand comment d'une femme old cisco
00:02:48
nous avons déjà la facture avant que l'artois est arrivé avec les classes de
00:02:52
différents utilisés puis on peut adapter on peut monter on peut défendre ses paiements flexible
00:02:58
et la flexibilité ceci et moyens flexible et évolutive des gérer l'infrastructure
00:03:07
avant de passer à la prochaine flegme question pour les publics
00:03:11
à votre avis quels sont les grands fournisseurs déclare dans ce moment dans le monde
00:03:19
vous avez déjà entendu
00:03:22
amazone edelweiss très bien sûr
00:03:26
un obama cross of poker pas mal là encore indûment
00:03:30
certains grands plaire fourretout dans le domaine des et à google
00:03:36
donc sous cette slide on voit que aida business
00:03:40
microsoft et google gère 65% du marché cloud
00:03:45
ce énormément et puis nous avons des petits plaire comme alibaba
00:03:49
a bien cloud tuant 5% deux pourcent sachant josé
00:03:52
par rapport aux régions la ont aussi in situations géopolitiques ou
00:03:57
certaines compagnies et celle du moyen utilisé par exemple des solutions qui vient de chine
00:04:03
et d'abus S32% en eux des clientes se sont décidées pour et damien espace que
00:04:09
et d'adresse dans la possibilité de bien s'adapter à une large gamme d'applications
00:04:15
3 23% des entreprises se sont décidées pour microsoft majeur parce
00:04:20
qu'ils aient la possibilité d'avoir l'intégration avec les applications dont vous savez
00:04:25
beaucoup d'entreprises ou tu déjà microsoft et sexy office où c'
00:04:29
est très facile de dire voilà on va intégrer notre cloud
00:04:33
avec tout notre système que nous avons donc sanctionné enclos que je ne sais pas quoi
00:04:38
google d pourcent du marché en ce moment où je veux
00:04:43
dire que google a commencé un peu plus tard et de bien ça
00:04:46
commençait avec les clouds quand beaucoup des entreprises fallait pas encore ce
00:04:49
cas les clouds vont investi rapidement et beaucoup avec beaucoup de ressources
00:04:54
moi que ça vous a suivi google est devenu un peu plus tard
00:04:59
mais son entrée de gagner du marché surtout avec tous ses cours
00:05:02
concernant des technologies artificial intelligence où il devient de plus en plus fort
00:05:10
vous faites cela et on voit très bien à l'évolution
00:05:14
en utilisation de cloud entre 2015 2022
00:05:19
donc on voit que le nombre des données
00:05:23
qui sont données cloud augmenter à 50% grande
00:05:28
et c'est grâce à la digital da la transformation digital
00:05:33
et aussi à la crise couronne à coup les utilisateurs déclare donc monter
00:05:40
on voit par exemple à 2020 tonnes a été à 50%
00:05:44
et à 2022 ont été à 60% des utilisateurs passent que
00:05:48
l'impact de covitt se voit pas en 2020 et
00:05:52
un et souvent 2022 parcs d les données sont fournis plutarque
00:06:01
de toute fin de semaine chaîne doivent besace cloud de tôle instituée
00:06:07
qui nécessité c'est une phrase que j'adore alsace nous suivre
00:06:13
alors que s'impose parfois je dois réfléchir en plusieurs langues pour eux si je
00:06:17
commence à parler du gala sigismond décédé qui vont comprendre mais pour revenir au pouvoir
00:06:25
dans le cas parfois dans un cas personne pourcent
00:06:30
qui ont des professionnels a été sécurité qui
00:06:33
ont été demandées trouve que la complaisance itunes top ralentit
00:06:37
on doit savoir comment gérer des pillards comment gérer un l. d.
00:06:41
p. comment gérer des nouveaux réglé sur qui sont entre devenir donc
00:06:45
là on parle avec certains clients sur des sujets mettant worth le
00:06:49
monde qui se voit pas ont physiquement mais qui existe virtuellement
00:06:54
ou de fait les ventes ou ladite demande ou peut acheter des dettes aucun
00:06:59
action n valeurs comment gérer sa dans un monde qui pas physiquement qui digital
00:07:06
on voit que c'est dans ce temps de % des compagnies
00:07:10
ou des entreprises sont pas du tout confortable en ce qui concerne
00:07:14
leur enterrement clart donc ils savent qu'on a beaucoup à faire
00:07:18
mais eux ils ont pas eux l'esquisse qui sont
00:07:21
demandées ne sont pas les connaissances et non pas l'expérience
00:07:25
on voit que 50% des organisations
00:07:30
en ce moment manco si vraiment le personnel qui est capable de gérer
00:07:35
cloud moi par exemple je travaillais avec et d'abus s qui travaille avec plusieurs
00:07:41
et sortait de a bien su trouver ça déjà pas mal
00:07:44
compliqué ça prend du temps pour comprendre les fonctionnalités et pourvoit pouvoir vraiment
00:07:49
utilisez la valeur entier de la peau de ce système en général
00:07:55
avec cela je voudrais passer la parole à mon collègue adélie pour tout ce qui concerne les défis
00:08:01
et aussi la part de solution merci beaucoup et yale et encore merci jeunes pour l'introduction
00:08:08
alors sans plus tarder on va passer la deuxième partie de cette présentation
00:08:12
qui concerne les plus grands défis que peutêtre certains d'entre vous rencontre
00:08:17
en matière de cyber sécurité on a reçu quelques questions et délais moimême hier soir
00:08:22
concernant eux certains d'entre vous par exemple se pose la question à savoir
00:08:27
comment gérer le manque de personnel qualifié dans l'environnement cloud
00:08:31
comment gérer la conformité vise à vider des régulateurs
00:08:36
et ce sont des questions qu'on espère pouvoir couvrir à travers cette deuxième partie de la présentation
00:08:42
alors l'un des plus grands défis que l'on retrouve là chez la plupart de
00:08:46
nos partenaires c'est un membre d'une stratégie claire qui et guidé par le besoin business
00:08:53
alors pour donner un exemple de ce gros problème on retrouve chez pas mal de nos clients
00:08:59
cette problématique et lié au fait que par exemple
00:09:02
quand il doit prendre les décisions concernant un fournisseur cloud
00:09:06
ils vont plutôt se focaliser sur un fournisseur qui leur donne une solution qui adaptés à leurs besoins aujourd'hui
00:09:12
sans forcément tenir compte de leurs objectifs de croissance d'eux a perdu
00:09:18
donc oui vive elle devait être dans les 5 voir les 10 prochaines années
00:09:23
un autre problème qui est directement liée aussi un manque de d'une stratégie TRC
00:09:29
l'absence de personnel suffisamment qualifiés pour la gestion de l'environnement clair alors
00:09:35
j'en profite pour eux pour eux c'est ce point c'est très important
00:09:40
pour vous quand vous mettez en place votre stratégie cloud
00:09:43
que élimine une vision courts moyens et long terme qui vous
00:09:49
permet d'arriver là où vous voulez avec le personnel
00:09:53
adequat avec les personnes qui ont les bonnes connaissances auprès de
00:09:57
un autre problème qu'on voit très souvent c'est la gestion des coûts dans l'environnement
00:10:01
qui a alors tout algérien n'en a très brièvement parlé c'est vrai que comme disait viel
00:10:07
le cloud un avantage majeur qui et le fait qu'on ne payer que
00:10:10
ce que veut que ce pourquoi eux ont jusqu'ce qu'on consomme pardon et
00:10:16
le problème avec ça c'est que même si ça permet d'optimiser les coûts c'est que
00:10:21
parfois ça peut être un problème qu'on veut faire des estimations
00:10:24
qu'on veut faire des prévisions sur les moyens ou long terme
00:10:29
et aussi comme disait hier nous parfois on a des petites surprises sur les factures au tout début qu'ont encore du mal à
00:10:35
comprendre exactement de quel service on a besoin parfois ont souscrit à des
00:10:39
services qui se chevauchent et on se retrouve à payer beaucoup plus cher
00:10:44
on voit d'autres défis aussi par exemple le manque de compréhension du fonctionnement de des environnements cloud
00:10:50
notamment dans le modèle des responsabilités partagées des responsabilités
00:10:54
partagées entre vous les clients et les fournisseurs cloud
00:10:58
on voit également parler de d'un manque
00:11:01
de maintien de la conformité réglementaire très souvent
00:11:07
et si j'en profite pour rappeler un point
00:11:10
très important pour vous entreprise suisse entreprise européenne
00:11:14
il est primordial que quand vous choisissez un fournisseur cloud vous orienter vers une entreprise
00:11:21
qui possède des serveurs en europe qui possèdent des serveurs en
00:11:26
suisse pour éviter de perdre la confiance des dettes du régulateur
00:11:31
qui aurait l'impression que vous ne pouvez pas maintenir
00:11:34
ou de la vie n'est pas en possession de
00:11:39
d des connaissances vous permet de maintenir la la confidentialité et
00:11:43
l'intégrité de vos données ainsi que des données de vos clients
00:11:48
alors que ce dernier point et intrinsèquement liée à
00:11:52
une certaine volonté un besoin que vous avez tous deux
00:11:56
d de garder un contrôle sur qui a accès à vos données dans votre environnement claire
00:12:02
c'est vrai que peutêtre certains d'entre vous se disent je mon souci
00:12:06
pas parce que ma vision c. d'externaliser pratiquement la quasitotalité de mon environnement k.
00:12:13
mais même si aujourd'hui c'est ça votre vision il faut garder en
00:12:16
tête que vos restait quand même entièrement
00:12:19
responsable de la confidentialité intégrité de ses données
00:12:24
et ce n'est pas peut être que le régulateur aussi se retourner vers votre fournisseur
00:12:29
les vous serez le premier vers lequel il va se retourner le jour il ya un problème
00:12:35
alors évidemment chaque problème à sa solution et ici nous
00:12:40
avons lister toute une série de solutions qui peuvent vous aider
00:12:43
à vous prémunir donc en prévention donc vous prémunir contre
00:12:48
ces défis lorsque vous commencez votre parcours vers le cloud
00:12:55
en un premier temps peut parler de la nécessité d'implémenter
00:12:58
une architecture de sécurité club qui est adapté à vos besoins
00:13:02
j'espère avoir le temps de revenir dessus avec un exemple concret pour vous parler de
00:13:06
l'architecture et retrace que je pense que certains d'entre eux ont déjà entendu parler ensuite
00:13:13
il est primordial d'implémenter une bonne gouvernance de sécurité éclat
00:13:18
la gouvernance de sécurité classe que ça veut dire c'est mettre en place des outils
00:13:22
qui vous permettent d'établir de distribuer les rôles et les responsabilités au sein de votre entreprise
00:13:28
ce qui permet ce qui va favoriser la prise de décision
00:13:31
mais aussi la prise d'initiatives en matière d'eux cybersécurité
00:13:38
alors peu importe où vous en êtes aujourd'hui dans votre parcours vers le cloud vers eux dans votre migration
00:13:46
il est très important de comprendre où vous en êtes aujourd'hui d'
00:13:49
avoir une idée de votre posture de votre maturité en termes de cybersécurité
00:13:55
et d'avoir et éventuellement un idéal de là où vous voulez être dans peut être de
00:13:59
trois quatre cinq ans et c'est quelque chose qui peut être lié à vos objectifs personnels ou
00:14:06
a peutêtre à des standards du marché auquel vous voulez vous rapprocher
00:14:10
mais c'est important d'avoir cette vision afin d'établir une roadmap
00:14:14
qui est composé de points et d'actions concrètes que vous devez menée pour l'arrivée
00:14:21
ensuite je pense qu'on ne peut pas parler de cloud sans revenir sur cette notion que
00:14:27
j'ai déjà mentionné qu'il est important de maintenir la confidentialité intégrité dans les environnements cloud
00:14:34
alors ici j'ai bonne nouvelle pour vous c'est que quand on parle de solutions d. p.
00:14:39
généralement la plupart des fournisseurs cloud dont on a déjà parlé
00:14:43
propose des solutions qui sont implémentés dans les packages de base
00:14:48
qui vous sont proposés évidemment il est possible de souscrire à des solutions plus avancés qui
00:14:53
vous permet d'aller plus loin de détecter des brèches beaucoup plu le plus difficile à identifier
00:15:00
les voilà à garder en mémoire l'importance de la notion de protection des données dans le cas
00:15:08
mon collègue et peut être beaucoup d'entre vous comme vous le savez
00:15:12
il est très difficile d'avoir une vue d'ensemble de ces risques
00:15:17
de d'avoir une bonne gestion des risques sans un cadre formel autour
00:15:23
et notre bonne nouvelle c'est que dans l'environnement car vous n'avez pas à crier votre 4 à partir de 0
00:15:30
la plupart des fournisseurs tels que les jeux propose
00:15:33
des cadres qui sont déjà inclus dans votre environnement cloud
00:15:38
donc des cadres par rapport auquel vous allez pouvoir comparer votre performance éventuellement détecter
00:15:44
des manquements qui vont vous permettre de vous améliorer au fur et à mesure
00:15:50
tout alors on parlait de dunes d'un problème qui est liée à
00:15:54
la allah à la présence de personnel suffisamment qualifiés pour la gestion
00:15:58
de votre environnement cloud mais aussi à la gestion de la sécurité des applications que vous détenez dans le cloud
00:16:05
alors l'une des solutions qui existent ces solutions proposées par des parties tierces qu'on appelle
00:16:11
management v 16 qui au final consiste en
00:16:15
une externalisation quasi totale de vos de votre environnement
00:16:25
donc j'aurais aimé vous présenter la cela différemment sans toutes ces informations mais on voyait les alors
00:16:32
petite question qui a déjà entendu parler de l'architecture dit retrace voudrait
00:16:37
dire qu'il n'a jamais entendu parler de l'architecture des autres
00:16:42
ah je dois avouer que je suis et télé mais je vais essayer de vous éclairer un minimale
00:16:49
alors peut être que vous n'avez jamais entendu désire parler d
00:16:52
u retrace mais que ce slogan le slogan suivant vous dit quelque chose
00:16:57
les votes vaste au SPF a tout simplement ce que cela veut dire c'
00:17:02
est qu'estce que vise le l'architecture
00:17:06
de vastes c. un shift de mentalité ou
00:17:10
aujourd'hui par exemple et encore pas mal d'entreprises qui sont plutôt sur le
00:17:13
modèle chaste bad wolf a concrètement qu'estce que ça veut dire ça veut dire que
00:17:18
vous avez un utilisateur au sein de votre entreprise qui se connectent au
00:17:22
moins d'un utilisateur un nom d'utilisateur et d'un mot de passe
00:17:26
et vu qu'il fournit un mode pasquier adequat vous
00:17:29
partez du principe que cette personne et qui elle prétend être
00:17:34
ce que proposait le casque c'est d'aller un peu plus loin de se dire
00:17:38
ok ça m'a donné le mot de passe qui correspondait à ton à ton identifiant
00:17:43
mais j'aimerais avoir un second facteur j'aimerais avoir éventuellement un troisième facteur d'authentification qui
00:17:48
permet de vraiment m'assurer que j'ai bien la personne que tu prétends être et donc
00:17:54
pour aller un peu plus loin c'est le double voire triple vérification
00:17:58
elle va s'établir sur plusieurs paramètres elle va s'établir sur plusieurs piliers
00:18:03
qui constituent l'angle l'architecture et retrace donc ces piliers qui sont les utilisateurs
00:18:10
les machines le réseau en luimême dans tout le trafic entre
00:18:13
les utilisateurs et les machines entre les machines et les applications
00:18:18
donc les applications aussi les outils d'automatisation qui permettent de la réponse aux incidents
00:18:24
éventuellement les mécanismes d'analyse qui permet d'identifier de nouvelles vulnérabilités de nouvelles failles
00:18:31
alors lorsque l'on pense à une implémentation de l'architecture
00:18:35
de la première étape et la plus cruciale c'est une bonne évaluation
00:18:41
notre évaluation 0 un inventaire de nos systèmes de l'ensemble de nos
00:18:46
systèmes de l'ensemble de nos utilisateurs donc comprendre qui sont les sujets et
00:18:51
quelles sont les objets auxquels ces sujets souhaite sur lesquels ces sujets souhaite se connecter
00:18:57
et tout cela doit se faire évidemment dans dans un cadre qui vous
00:19:02
permet de comprendre comment cela s'imbrique dans les 10 dans les process de votre business
00:19:08
une fois qu'on a cette partie on aime bonne compréhension de ses
00:19:11
parties on va faire une évaluation des risques et cela va nous permettre éventuellement
00:19:17
d. de développer des politiques de sécurité et des normes assez robuste
00:19:26
fois qu'on a cela évidemment je pense qu'à ce stade voleur et bien compris que
00:19:32
j'ai retraite à ne pas confondre avec vente restent les pas un
00:19:36
outil c'est un ensemble d'outils qui peuvent être mises en place
00:19:40
pour arriver à certains niveaux d'de sécurité donc faconné identifier tout les outils
00:19:46
qui peuvent nous permettre d'arriver à ce niveau de confiance en valais déployés et ensuite on va
00:19:53
évaluer leurs performances en production et cette évaluation
00:19:59
production va nous permettre de détecter des points
00:20:02
d'amélioration et avant de les implémentée dans
00:20:04
notre architecture on va repasser exactement par le mécanisme
00:20:09
et donc on va tout faire et à 0 car je vous le rappelle que la sécurité
00:20:13
c'est aussi ça c'est continuellement se remettre en question ne pas dormir sur ses lois
00:20:18
et en même temps se disant aujourd'hui j'ai mis en place des des solutions
00:20:23
et je suis tranquille sur le pour les 5 voir les 10 prochaines années ça n'existait pas évidemment
00:20:29
la mise en place d'une telle architecture doit se faire en
00:20:32
cohérence avec votre cadre de gestion des risques très importants car
00:20:40
au final implémentation d'une telle architecture de la qu'un
00:20:43
but principal c'est la minimisation des risques pour votre entreprise
00:20:50
alors
00:20:52
pour conclure peu importe où vous en êtes aujourd'hui que vous avez déjà un pied dans le cloud
00:20:59
où que vous soyez en pleine réflexion concernant un intérêt potentiel pour vous de migrer vers le cloud
00:21:05
vous allez forcément passer par ces 4 étapes la première étape consiste en une autoévaluation
00:21:10
comprendre vous en êtes peut être par rapport aux concurrents par rapport aux standards du marché
00:21:15
cela va vous permettre d'aider d'établir en second
00:21:18
lieu une roadmap donc comme je disais un ensemble d'actions
00:21:23
séquentiels pour arriver à cet idéal de sécurité que vous souhaitez mettre en place
00:21:29
et pendant cette phase si vous allez déterminer quels
00:21:33
outils sont essentiels à l'implémentation de cette architecture
00:21:37
et ensuite vous allez les déployer et vérifier comment cela s'imbrique en
00:21:43
production et cela va vous permettre c'est cette surveillance va vous permettre d
00:21:49
de détecter des points d'amélioration que vous allez de nouveau promettre dans le circuit
00:21:54
réévaluer et ainsi de suite et c'est comme ça qu'en matière de sécurité

Share this talk: 

Conference Program

01:38
Mot de bienvenue
Samuel Mellot, Attaché au développement économique, DG DERI
Sept. 1, 2023 · 8:33 a.m.
178 views
04:17
Mot de bienvenue
Anthony Montes, Directeur Promotion, FER Genève
Sept. 1, 2023 · 8:35 a.m.
01:52
Ouverture de la matinée
Joan Plancade, Journaliste, Magazine Bilan
Sept. 1, 2023 · 8:39 a.m.
13:52
Gestion et supervision des fournisseurs informatiques
Yan Borboën, Associé, Digital Assurance and Cybersecurity & Privacy, PwC
Sept. 1, 2023 · 8:42 a.m.
29:23
Mesures techniques pour se mettre en conformité avec la nLPD
Gaëlle Goareguer & Alexandre Courois, Resp: Consultante en Systèmes d'information -- Sous-Directeur Audit et Conseil en systèmes d'information, BDO
Sept. 1, 2023 · 8:57 a.m.
22:08
La sécurité au coeur de la transition vers le cloud
Eliel Mulumba & Adelite Uwineza Kazungu, Resp: Head of Operational Technology Security -- Cyber Awareness Specialist, EY
Sept. 1, 2023 · 9:28 a.m.
13:56
Gestion d'une cyber-crise et plan de réponse
Cédric Nabe, Associé, Risk Advisory, Deloitte
Sept. 1, 2023 · 9:52 a.m.
15:02
Débat et questions du public
Panel
Sept. 1, 2023 · 10:07 a.m.

Recommended talks

20:33
Management of health data in an industrial company
V. Srikanth Nallanthighal
Sept. 5, 2019 · 1:57 p.m.
146 views