PROGRAMME DE LA FORMATION

1 Problématique de la conformité dans le Cloud

  • Les 5 mythes de la sécurité dans le Cloud
  • Définition et principes fondamentaux du Cloud Computing
  • La répartition des responsabilités entre client et fournisseur selon les modèles
  • Identifier les rôles (responsable de traitement, co-responsable ou sous-traitant)
  • Nouvelles responsabilités et nouveaux risques pour les sous-traitants
  • Les 7 recommandations de la CNIL pour protéger les DCP dans le Cloud
  • Le guide de la CNIL pour les sous-traitants

2 Les normes ISO et la sécurité dans le Cloud

  • La norme ISO 27001 : Intérêt et limites dans un contexte de Cloud computing
  • Les normes ISO dédiées au Cloud (ISO 17788 & 17789)
  • L’apport de la norme ISO 27018 pour la protection des DCP dans le Cloud
  • La nouvelle norme ISO 27017 pour la sécurité dans le Cloud

3 Gérer les risques dans le Cloud

  • L’analyse de risque IT vs l’analyse d’impact (PIA)
  • La modélisation d’une PIA et seuils de tolérance
  • Le rôle et les devoirs du fournisseur en matière de PIA
  • La cartographie des risques dans le Cloud
  • Les 4 options de traitement des risques adaptées au cloud
  • 133 mesures de sécurité spécifiques pour traiter les risques dans le cloud

4 Sécuriser ses données dans le Cloud

  • La sécurité dans tout le cycle de vie des données dans le Cloud
  • La protection des données (chiffrement, hachage, tokenization,…)
  • Les 4 conditions indispensables pour un chiffrement sûr
  • Les trois approches de gestion des clés de chiffrement dans le Cloud

5 Gérer les violations de données dans le Cloud

  • Les exigences réglementaires en matière de violation de données
  • Les spécificités des violations dans le Cloud et exigence SecNumCloud
  • Les principales sources de violation de données dans le Cloud et exigence SecNumCloud
  • Les solutions pour détecter les violations de données (DLP, CASB, SIEM, SOC, CTI,…)
  • Les 6 questions à poser à son fournisseur concernant les violations de données

6 Evaluer les garanties de sécurité de son fournisseur

  • Les 5 approches pour évaluer les garanties de sécurité des fournisseurs
  • Les audits de sécurité et tests d’intrusion dans le Cloud
  • Les labels de sécurité des fournisseurs
  • Les certifications internationales ISO 27001 et SSAE16/ISAE 3402
  • L’hébergement des données de santé et la certification HDS
  • Le label de sécurité SecNumCloud de l’ANSSI
  • Les apports de SecNumCloud v3.1 concernant le RGPD
  • Les certifications OCF / STAR de la Cloud Security Alliance
  • Les codes de conduites et les certifications instaurés par le RGPD
  • Les codes de conduite pour la conformité RGPD des fournisseurs (CISPE & CSA PLA v3)
  • Conclusion sur les garanties des fournisseurs

7 Evaluer la conformité RGPD de son fournisseur

  • Le contexte règlementaire pour les fournisseurs
  • Les 5 obligations majeures pour les fournisseurs et les risques encourus
  • Les obligations et les risques des organismes qui placent leurs données dans le Cloud
  • Comment vérifier que le fournisseur est en totale conformité avec le RGPD ?
  • Les outils de conformité mis à disposition par les fournisseurs (AWS Macie, IBM Watson KC,…)
  • Conclusion sur la conformité règlementaire ST & RT dans le Cloud

8 Le contrat de Cloud computing

  • L’importance du contrat pour la sécurité et la conformité
  • Les clauses obligatoires à insérer dans le contrat pour assurer sa conformité
  • Les clauses de confidentialité et de sécurité des données
  • La sous-traitance en cascade et les obligations d’assistance du CSP
  • La gestion de la fin des contrats et l’effacement des données
  • Le principe d’Accountability et les clauses d’audit
  • La localisation des données : exigences RGPD et SecNumCloud
  • Les Service Level Agreement (SLA), pénalités vs indemnités
  • La clause contractuelle relative aux données personnelles
  • Les clauses contractuelles types de la CNIL
  • Conclusion sur le contrat et synthèse en 7 points

9 Sécuriser les transferts de données hors de l’UE

  • Cas particulier des fournisseurs situés hors de l’UE
  • Principe général applicable aux transferts et décisions d’adéquation
  • Cas particulier des Etats-Unis (Privacy Shield)
  • Garanties appropriées et dérogations
  • Les clauses contractuelles types (CCT)
  • Les règles d’entreprise contraignantes (BCR)
  • Le RGPD face à la loi américaine (Patriot Act et FISA)
  • Cloud Act, executive agreement et mécanisme d’entraide judiciaire (MLAT)
  • L’article 48 du RGPD face au Cloud Act
  • Conclusion générale de la formation