A l'issue de cette formation, vous serez capable de :

• Produire un audit formel des infrastructures, applications et services Cloud selon les bonnes pratiques et référentiels (ISO 27017, ISO 27018, CSA STAR...)
• Identifier et évaluer les risques liés aux environnements Cloud (IaaS, PaaS, SaaS)
• Concevoir un cadre de gouvernance et de conformité adapté au Cloud (politiques, rôles, processus)
• Etablir un plan de remédiation et de suivi des écarts détectés lors de l'audit.

Jour 1 – Matin 

Fondations et préparation de l'audit

• Etat des lieux : enjeux et spécificités de la GRC dans le Cloud
• Panorama des référentiels clés : ISO 27017, ISO 27018, CSA Cloud Controls Matrix

Exemple de travaux pratiques (à titre indicatif)

• Cartographie de votre Footprint Cloud et des responsabilités partagées (Shared Responsibility Model)

Jour 1 – Après-midi

Fondations et préparation de l'audit - Suite

• Elaboration du périmètre d'audit : périmètre IaaS, PaaS et SaaS
• Définition des rôles et responsabilités (Cloud governance)

Exemple de travaux pratiques (à titre indicatif)

• Rédaction d'une charte de gouvernance Cloud et des procédures associées

Jour 2 – Matin

Audit des contrôles techniques et organisationnels

• Audit des contrôles d'identité et d'accès (IAM) : MFA, rôles, politiques de moindre privilège
• Vérification des configurations réseau (CSP native firewalls, VPC / Subnet)

Exemple de travaux pratiques (à titre indicatif)

• Revue de set de politiques IAM et simulation d'attaque en lecture seule

Jour 2 – Après-midi

Audit des contrôles techniques et organisationnels - Suite

• Contrôles de protection des données : chiffrement au repos et en transit, gestion des clés KMS
• Audit des journaux et de la surveillance (CloudTrail, Azure Monitor, Stackdriver)

Exemple de travaux pratiques (à titre indicatif)

• Extraction et analyse de logs pour vérifier la traçabilité des actions

Jour 3 – Matin

Reporting, remédiation et suivi

• Rédaction du rapport d'audit : structure, scoring des écarts, mise en perspective des risques
• Méthodologie de priorisation des remédiations (impact vs effort)

Exemple de travaux pratiques (à titre indicatif)

• Construction d'un tableau de bord GRC Cloud (dashboards, KPIs)

Jour 3 – Après-midi

Reporting, remédiation et suivi - Suite

• Mise en place d'un plan de suivi : calendarisation des revues, indicateurs de conformité continue
• Processus de ré-audit automatisé (scripts, API des CSP)

Exemple de travaux pratiques (à titre indicatif)

• Présentation synthétique devant un comité – constats, plan d'action, KPI de suivi