Conférence I 15.10.2019 La migration vers le cloud …...plan de la protection des données des...
Transcript of Conférence I 15.10.2019 La migration vers le cloud …...plan de la protection des données des...
La migration vers
le cloud suisse
Conférence I 15.10.2019
+15années
d’expertise
40ingénieurs
& techniciens
+250clients PME
& corporates
une histoire d’expertise
5ans d’expérience
sur le Cloud
+80certifications
techniques
1lab
d’innovation
notre mission
Répondre au besoin de performance de
nos clients PME et grands comptes grâce
à des solutions technologiques et
innovantes, tout en plaçant le respect
de l’Homme et de l’Environnement au
cœur de nos actions
Passionnément techno.
Résolument humain.
Innovation & formationWorkplace mobile & digital
Infrastructure IT & cloudConseil & stratégie IT
CODALIS SA | 4
nos pôles complémentaires
Benjamin Müller
Datacenters Microsoft
en Suisse & Azure
Jérôme Toulet
Stratégie de migration
vers le cloud
Clément Bétacorne
Gouvernance et sécurité
Samuel Janin & Mirco di Gregorio
Conformité
Federico Rossi & Zahra Gaudin
Use case
Benjamin MüllerTerritory Channel Manager #Azure Microsoft
01
Microsoft Cloud in Switzerland
• CH North & CH West are paired within Switzerland,
customer data at-rest does not leave Switzerland
• Region pairing enables geo-replication for data backup,
in-country disaster recovery as a plus
• Based on the same trust principles as our global offerings
Swiss Set-up
• Azure IaaS and some PaaS (Azure SQL DB, Cosmos DB) launched in August 2019
• Further Azure services will be deployed in Switzerland step-by-step
• Office 365 follows roughly 3-6 months after the launch of the Swiss region
• Dynamics 365 and Power Platform follow in 2020
Rollout Sequence
Extract of services planned to launch in the weeks and months after go-live:
• Azure Firewall
• Log Analytics and Application Insights
• Web Apps / App Services / ASE
• Azure Kubernetes Services
• SQL Data Warehouse
• Media Services
• Azure DB for PostgreSQL / MySQL
• Automation
• Power BI
Azure Services Roadmap
https://azure.microsoft.com/en-us/global-infrastructure/services/
SAP-on-Azure
• M-Series are already deployed in CH DC and released for go-live
‐ SAP HANA certified
‐ Powerful specialized hardware
‐ Optimized for SAP Workloads
• In addition, SAP is also in the process to enable their own SAP managed
services offering “HANA Enterprise Cloud” based on the Microsoft Swiss DCs
• Office 365 follows roughly 3-6 months after the initial launch of the Swiss region
• Core customer data at-rest stays within Switzerland for the following services:
• Exchange Online mailbox content (e-mail body, calendar entries, and the content of
e-mail attachments)
• SharePoint Online (site content and files stored within that site)
• OneDrive for Business (uploaded files)
• Information on tenants move: http://aka.ms/move
Planned Office 365 Services
• Globally applicable certifications such as ISO 27001 to be inherited in Switzerland
• Microsoft commits in its contracts to abide by the requirements of the Swiss Data Protection law
• Microsoft’s commitment for the storage location of customer data at rest can be found in the
Microsoft Online Services Terms (OST) – CH to be listed as own geography in a future OST release
• Service Trust Portal including compliance documentation, audit reports etc
Compliance and Data Protection
Trust Center
Public Cloud in Swiss Financial Sector
Article from March 2019 Link to Publication
Microsoft Cloud in Switzerland
Jérôme TouletDirecteur TechniqueCodalis
02
CODALIS SA | 18
Infrastructure dédiée Infrastructure mutualisée
Hébergé dans votre centre de données Hébergé en dehors de votre centre de données
Coût unique (CAPEX) Coût mensuel (OPEX)
Cloud privé Cloud publicIT traditionnel
Cloud hybride
PUBLIC PRIVE HYBRIDE
Extensibilité +++ ++ +++
Offre de services +++ ++ +++
Vitesse d’intégration +++ ++ ++
Performances ++ +++ +++
Opérations +++ ++ ++
Sécurité +++ ++ ++
Conformité ++ +++ +++
Offre up to date +++ ++ +++
Localisation des données + +++ +++
Coûts +++ ++ ++
CODALIS SA | 20
posez-vousles bonnes questions
Demandeurs
Besoins et raisons d’aller dans
le cloud
Audit des compétences
internes et externes
Contraintes légales
Besoins en sécurité
CODALIS SA | 21
impliquer les acteurs de la migration
IT internes
Prestataires IT
Utilisateurs clés
Décisionnaires
CODALIS SA | 22
cartographierle système d’information
Applications
métiers
Classification
des données
Outils de
gestion IT
Liens
réseaux
CODALIS SA | 23
stratégie de migration applicative
Application cloud-native
Eff
ort
s
Déplacer
Rehost
Mettre à jour
Refactor
Re-architecturer
Rearchitect
Re-développer
Rebuild
Remplacer
Replace
IaaS PaaS SaaS
- +
+
CODALIS SA | 24
stratégie de migration de données
Migration à vide
Streaming
Réplication complète
On-premise Cloud
CODALIS SA | 25
tests | proof-of-concept Tester et utiliser les ressources des cloud
providers ! Évaluer les performances
Ajuster les configurations
Se prémunir d’éventuels problèmes
Valider la sécurité
Vérifier les coûts
CODALIS SA | 26
étapes de migrationSi la phase de test est concluante,
la migration peut démarrer. Suivre le plan de migration
Préférer une migration pas-à-pas
Vérifier que l’intégralité des
données est bien présente
Assurer le retour arrière en cas de
dysfonctionnement majeur
Attention à la bande passante sur
les liens réseaux !
CODALIS SA | 27
next steps | opérer, contrôler & optimiser Utiliser les outils intégrés du cloud
pour les opérations
Adopter les outils d’automatisation
pour gagner du temps sur les
opérations
Faire un contrôle des coûts
Ajuster les ressources
Clément BétacorneConsultant Gouvernance et Sécurité, RSSICodalis
03
CODALIS SA | 29
La confiance
n’exclut pas le
contrôle.Vladimir Ilitch Lénine
Contrats
Gestion des coûts
Règles de sécurité
Socle des identités
Déploiement des ressources
Conformité des ressources
Shadow IT
Protection des données
périmètre de la gouvernance
? ? ? ? ?
? ? ? ?
? ?
?
?
?
? ? ? ? ? ?
APPROCHE TRADITIONNELLE CLOUD-ENABLED SECURITY
? ? ? ? ?
? ? ? ?
? ?
?
?
?
? ? ? ? ? ?
Satisfied responsibility
Partially met responsibility
Unmet responsibility?
Cloud Provider responsibility (Trust but verify)
Shift commodity responsibilities to provider and re-allocate your resources
Leverage cloud-based security capabilities for more effectiveness
introduction à la sécurité
Le client principalement
Infrastructure as a Service
Platform as a Service
Le cloud provider principalement
Software as a Service
Délégation des responsabilités
en termes de sécurisation (IaaS,
PaaS et SaaS)
CODALIS SA | 33
certification & notion de confiance Solutions de sécurité à
implémenter (MFA, DLP, CASB)
Monitorer une infrastructure
on-premise ou cloud en termes
de sécurité
Gérer les identités (B2C, B2B,
SCIM)
CODALIS SA | 34
zerotrustChangement de paradigmeSécurité périmétrique → Identité
CODALIS SA | 35
se préparer & maîtriser les risques Définir une équipe composée
d’un architecte cloud
Définir les règles de base et
corriger les erreurs potentielles
Commencer par les workloads
non critiques pour gagner en
expérience
Inclure dans son choix du cloud
provider les solutions de sécurité
CODALIS SA | 36
Si vous n’allez pas
vers le cloud, le cloud
viendra à vous.
Clément Illitch Bétacorne
Samuel JaninSenior Manager Technology & Digital SolutionsMazars
Mirco di Gregorio Manager IT Audit & Advisory ServicesMazars
04
G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T
Toutes les parties doivent assurer la sécurité des donnéesElles doivent en connaître les traitements
Chaîne de traitement
Le commanditaire et le sous-traitant partagent des processus de gestion des incidents( (violation de données et/ou continuité d’activités)
Gestion des incidents
Il fournit des instructions claires à ses sous-traitants (RGPD)Il connaît les mécanismes de sécurité proposés par le sous-traitant (FINMA)Il les contrôle régulièrement
Notion de responsable de traitement
L’ensemble des parties doivent être en mesure de satisfaire aux demandes de suppression ou modification de données Le RGPD introduit la demande de portabilité
Prétentions ou droits des personnes
Responsabilités
Localisation
Sécurité
Une place de plus en plus importante à la responsabilité et à l’auto-contrôle
G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T
La localisation des données doit être connue et contrôléeAucun doute n’est permis
Le pays hébergeant est-il politiquement stable ?Les pouvoirs en place peuvent-ils avoir des intérêts dans les données hébergées ?Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance de ces données ?
Tout est question de choix
A condition que la législation du pays soit au moins équivalente aux exigences nationales (LPD et/ou FINMA)Des contrats contraignent et permettent de maîtriser les entités hébergeant les données
Echanges transfrontaliers autorisés
Responsabilités
Localisation
Sécurité
La localisation des données n’est pas formellement contrainte mais …
G D P R , F I N M A , P - L P D : D E S P R I N C I P E S C O N V E R G E A N T
Tiers administrateurs non contrôlés ou jeux de tests dans le cadre des développements & changements logiciels :• Anonymisation• Pseudonymisation• Chiffrement
Principe à systématiser dans le cas de données sensibles (RGPD)
Pour les environnements non maîtrisés
Listes nominatives des personnes disposant d’accès privilégiés aux données (FINMA)Capacités d’auditer les accès
Maîtrise des accès privilégiés
Responsabilités
Localisation
Sécurité
Au-delà de pratiques à l’état de l’art …
C O M P L É M E N T S
▪ Spécificités suisses :
• Champ d’application de la LPD limité aux personnes physiques
• Importance de l’auto-réglementation sous forme de guidelines ou de best practices sectorielles (validation préposé)
• Le P-LPD limite la notion de portabilité et omet la question du profilage
• Les autorités pénales (pas le préposé) auront la compétence de prononcer des sanctions pénales
• Montant des sanctions relativement bas par rapport aux sanctions RGPD
▪ Circulaires FINMA
• 2008/21 risques opérationnels banque : données d'identification du client (client identifying data ou CID)
• «La banque doit connaître le lieu où les CID sont stockées, les applications et systèmes IT avec lesquels elles sont traitées et le lieu où il est possible d’y accéder par voie électronique. Il faut s’assurer par des contrôles appropriés que les données sont traitées conformément […].»
• «Lorsque les CID sont stockées hors de Suisse ou qu'elles font l'objet d'un accès depuis l'étranger, les risques accrus qui en résultent sur le plan de la protection des données des clients doivent être limités de manière appropriée.»
▪ Eléments clés à considérer
• Cloud en Suisse : qu’est-ce qui est effectivement hébergé en Suisse ?
• Quelles sont les fonctions ou services disponibles et leurs champs d’applications géographiques ?
• L’entité qui est propriétaire de ces services est-elle une entité Suisse ?
• Est-on protégé contre toute intrusion étatique / juridique décidée unilatéralement de surveillance de ces données ?
• Qu’est-ce qui est prévu en cas de rachat de l’entité ou de modification des ses statuts ? Qui peut en devenir le propriétaire ? Quels sont dès lors nos droits ?
42
TÉMOIGNAGE CLIENT-Federico RossiBusiness AnalystRAM Active Investment
05
Nous sommes à votre
disposition !
[email protected] + 41 (0) 58 404 10 00
www.codalis.ch
@Codalis @codalis.gva
Codalis SA