A l'issue de cette formation, vous serez capable de :

• Identifier les principaux risques de sécurité liés aux environnements Cloud hybrides et multi-Cloud
• Analyser les enjeux juridiques et contractuels d'un projet Cloud
• Mettre en oeuvre les bonnes pratiques de sécurisation de l'infrastructure Cloud
• Configurer des dispositifs de sécurité réseau dans un environnement virtualisé
• Implémenter une stratégie IAM (gestion des identités et des accès) adaptée au Cloud
• Intégrer la sécurité dans les pipelines DevOps (DevSecOps).

Jour 1 - Matin

Fondamentaux de la sécurité Cloud

Enjeux et spécificités de la sécurité dans le Cloud

• Cloud vs SI classique : quelle évolution des périmètres de sécurité ?
• Confidentialité, intégrité, disponibilité, traçabilité... quelle sûreté de fonctionnement dans le Cloud Computing
• Les modèles de responsabilités partagées entre Cloud Provider et Cloud Consumer
• Enjeux de sécurité liés au Cloud Computing

Quels référentiels et cadres règlementaires de sécurité

• Normes ISO 27001, 27005, 27017, 27018...
• Référentiels de sécurité : CSA CCM, ENISA CSF, ISAE3402, SOC 2 / 3, NIST SP 800-XXX, NIS2, DORA...
• Qu'en dit l'ANSSI... avec le SecNumCloud ?
• Que dire de l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) ? Objectifs et impacts 

Introduction à la sécurité réseau dans le Cloud

• Un modèle en couches hérité à adapter au Cloud Computing (protections par couches)
• Une surface d'exposition élargie nécessitant une surveillance renforcée 
• Virtualisation du réseau et micro-segmentation
• Notion de "Zero Trust Network Architecture" dans le Cloud

Exemples de travaux pratiques (à titre indicatif)

• Etude de cas : analyser une architecture Cloud sur la base du modèle partagé, cartographie des responsabilités et évaluation des zones critiques de sécurité
• Analyser les principales menaces et vulnérabilités dans le Cloud Computing

Jour 1 - Après-midi

Analyse des risques et sécurité réseau avancée

Cartographie et typologie des risques Cloud

• Quelle cartographie des risques du Cloud Computing ?
• Les risques techniques et technologiques : failles et vulnérabilités, erreurs de configuration...
• Les risques organisationnels et juridiques : dépendance, non-conformité, juridictionnels...
• Quels sont les risques liés au Shadow IT ?
• Quelques exemples de menaces : hyperviseur, API, latéralisation...

Gestion des flux et interconnexions réseau Cloud

• Les enjeux de la sécurisation des flux réseaux dans le Cloud Computing
• Typologies des interconnexions et risques associés (Cloud-to-Cloud et Cloud-to-OnPremise)
• VPN, firewalls Cloud native et distribués, micro-segmentation et SASE (Secure Access Service Edge)
• Notions d'hybridation et sécurisation des flux inter-applications notamment pour les applications Cloud natives et architectures orientées micro services

Exemples de travaux pratiques (à titre indicatif)

• Evaluer les menaces sur un système hybride et cartographier les flux sensibles, matrice des risques associés
• Analyser des intrusions exploitant des menaces et des vulnérabilités liées au Cloud Computing

Jour 2 - Matin

Aspects juridiques et gestion des identités (IAM)

Contrats Cloud et conformité juridique

• Contrats SaaS / IaaS / PaaS vs infogérance
• Clauses : SLA, sécurité, réversibilité, auditabilité, pénalités, coûts, cadre règlementaire...
• Outils contractuels : Cloud Auditor, grilles de conformité...
• Quelles exigences de sécurité pour des applications SaaS ?

IAM (Identity et Access Management) dans le Cloud

• Fondamentaux de l'IAM dans le Cloud Computing
• RBAC, ABAC, gestion du cycle de vie des identités
• Fédération d'identités : SAML, OIDC, ADFS, Entra ID (ex. Azure AD)
• Gestion des accès multi-Cloud et outils : Okta, Ping Identity, OneLogin...

Exemples de travaux pratiques (à titre indicatif)

• Analyser, de manière critiques, des contrats d'applications SaaS
• Mettre en place une fédération d'identités inter-applicative, définir la liste des protocoles et connecteurs nécessaires

Jour 2 - Après-midi

Sécurité opérationnelle et gouvernance technique

Exploitation sécurisée d'un environnement Cloud

• Cloisonnement des environnements de prod / dev / test / sandbox...
• Journalisation, alerting et traçabilité
• Continuité et reprise d'activité PCA / PRA et sauvegardes, réplication, redondance
• Gouvernance du cycle de vie, audit et gestion de l'obsolescence : tags, CMDB, SAM...

Observabilité et gouvernance technique

• Observabilité Cloud : gestion de la supervision, du traçing et des logs...
• Les Cloud Management Platforms (CMP) : gestion multi-Cloud, configuration, coûts et sécurité
• Tableaux de bord : sécurité et indicateurs clés
• La gestion des incidents dans le Cloud et intégration avec les outils d'ITSM
• Gouvernance des rôles et rersponsabilité (rôle de la DSI, DevOps, SecOps...) : de l'importance d'un RACI clair et partagé

Exemples de travaux pratiques ( à titre indicatif)

• Déployer un environnement IaaS sécurisé avec mécanismes de supervision, configuration de sauvegardes et tableau de suivi sécurité
• Définir les outils à utiliser dans une Landing Zone sécurisée pour une application hébergée chez un Cloud Provider public

Jour 3 - Matin

Sécuriser les applications Cloud Native : Build et Deploy

Build – Intégrer la sécurité dès le développement et la construction

• Qu'est-ce que le DevSecOps ? Pourquoi adopter une posture shift left ?
• Sécurité dans le code : SAST, analyse de dépendances, politiques de codage sécurisé
• Construction d'images de containers : minimisation, durcissement, gestion des UID, bonnes pratiques de Dockerfile
• SBOM (Software Bill of Materials) : intérêt, outils (Syft, CycloneDX), automatisation
• CNAPP et scanners de build (Trivy, Grype, Checkov...) : premiers contrôles dès le commit

Deploy – Sécuriser l'Infrastructure as Code et les déploiements CI/CD

• Risques liés à l'IaC : quelles vulnérabilités fréquentes dans les fichiers Terraform, Ansible...?
• Scanners IaC : tfsec, Checkov, KICS, intégration dans le pipeline
• Sécurisation des secrets et configurations (Vault, SOPS, Sealed Secrets)
• GitOps sécurisé : auditabilité, contrôle des merges, GitOps pull vs push
• CI/CD sécurisé : signature d'image, scan automatique, contraintes de conformité
• Admission controllers Kubernetes (OPA / Gatekeeper, Kyverno) : bloquer les déploiements non conformes

Exemples de travaux pratiques (à titre indicatif)

• Réaliser une analyse de sécurité sur image Docker avec Trivy et construire une pipeline CI/CD intégrant des scanners IaC et un contrôleur d'admission

Jour 3 - Après-midi

Sécuriser les applications Cloud Native : Run et Respond

Run – Durcir et surveiller la plateforme d'exécution

• Sécurité des containers : moteur containerd / CRI-O, isolation, exécution en rootless, readonly FS
• Sécurité des noeuds : OS minimal (Talos, Bottlerocket, Flatcar), activation de seccomp, AppArmor, SELinux
• Sécurité native Kubernetes : RBAC et Network Policies, Security Contexts et PodSecurity Standards (PSS)
• Gestion des secrets, journaux et audit logs...
• Intégration d'un service mesh (Istio, Linkerd) pour sécuriser les communications

Respond – Observer, détecter, réagir en cas d'incident

• Quelles traces et signaux surveiller : logs, métriques, évènements runtime ?
• Outils de détection et réponse : Falco (eBPF), Audit Logs K8s, Prometheus, Loki
• Intégrer un CNAPP ou SIEM Cloud native pour corréler et alerter
• Bonnes pratiques de réponse : rollback GitOps, rotation de secrets, pause de workloads
• Chaos Engineering pour valider la résilience sécuritaire

Exemples de travaux pratiques ( à titre indicatif)

• Déployer une application sur K8S avec RBAC, PSS et NetworkPolicy et détecter un comportement anormal avec Falco et rollback GitOps