Introduction et présentation des certifications CCSP et CCSK
Architectures et exigences de sécurité des services CLOUD : Caractéristiques, services, rôles, déploiements, responsabilités – Architectures (TOGAF, SABSA, CSA, Jéricho) – Risques (référentiels, méthodes, guide ENISA)
Sécurité des données dans le Cloud (1ère partie) : Cycle de vie des données – Services de stockage Cloud – Données à caractère personnel
Cas concrets : Modèles associés à des exemples de solutions Cloud – Analyses et traitement des risques d’une migration Office 365 – Quizz et correction.
2 - Jour 2
Sécurité des plateformes Cloud et des infrastructures (1ère partie) : Réseaux et communications (flux, administration) – Virtualisation – Continuité des activités
Aspects juridiques et conformité (1ère partie) : Panorama des aspects légaux et réglementaires – Règlement Européen sur la Protection des Données Personnelles et Services Cloud – Référentiels et bonnes pratiques de sécurité
Cas concrets : Comparaisons de clauses de certification STAR de fournisseurs Cloud – Sécurité des réseaux d’administration
Quizz et correction
3 - Jour 3
Introduction module 2 et rappel sur les certifications CSSP et CCSK.
Sécurité des données (2ème partie) : Data Loss Prevention – Chiffrement et autres techniques (FHE, pseudo anonymisation, algorithmes de dispersion, Information Right Management).
Sécurité des plateformes Cloud et des infrastructures (2ème partie) : Software Defined Networking – Segmentation des réseaux Cloud et VXLAN.
Sécurité des applications : Principes de déploiement (SDLC, STRIDE, DREAD, ISO 27034) – Audits et tests – Failles applicatives (OWASP, CSA Top Threats, API, CVSS) – Gestion des identités et des accès (SAML, OAUTH, OpenID).
Cas concrets : Déploiement CASB (Cloud Access Security Broker) – Gestion des clés avec le protocole KMIP
Quizz et correction
4 - Jour 4
Introduction.
Sécurité des opérations : Conception et sécurité du Datacenter – Durcissement systèmes et réseaux (exemple hardening AWS, gestion des logs, gestion des correctifs, IDPS, SecCM, protocole SCAP) – Administration et exploitation – Réaction aux incidents de sécurité (exemples, processus, investigations numériques).
Aspects juridiques et conformité (2ère partie) : Certifications et homologation (SOC, STAR, SO 15408, SecNumCloud) – Gestion des contrats.
Cas concrets : Réaction à un DDoS – Evaluation d’un niveau de sécurité en utilisant le référentiel Cloud Control Matrix.
Examen blanc de simulation d’examen CCSP et correction