Bienvenue dans une nouvelle ère de complexité pour ceux qui pensaient autrefois que la sécurité des données était un défi lorsque le commerce se faisait principalement au niveau local. Aujourd'hui, les entreprises sont mobiles et le stockage dans le cloud est utilisé pour conserver les données partout. AWS, Azure Cloud ou Google Cloud Platforms sont les trois fournisseurs d'infrastructure (IAAS) les plus courants. Une chose n'a toutefois pas changé : les gens veulent toujours que les entreprises protègent leurs données. L'échec n'est pas une option, et le non-respect des normes strictes actuelles entraîne des sanctions sévères et, surtout, une perte de confiance des clients, ce qu'aucune entreprise ne peut se permettre.
Dans cet article, nous allons nous intéresser de près au cadre de conformité du cloud, à son importance, à ses composants et aux cadres courants.
Qu'est-ce que la conformité cloud ?
La conformité cloud fait référence aux règles et réglementations établies par les instances dirigeantes afin de garantir que les données conservées dans le cloud sont sécurisées, confidentielles et conformes aux directives établies en matière de cybersécurité. Ces réglementations s'appliquent souvent aux secteurs qui gèrent des données sensibles, tels que le secteur de la santé (soumis aux exigences HIPAA) ou le commerce électronique (qui suit les normes PCI DSS).
Pourquoi la conformité cloud est-elle importante ?
D'ici 2022, plus de 60 % de toutes les données d'entreprise seront stockées dans le cloud. Cela représente deux fois plus de stockage dans le cloud qu'en 2015.
Étant donné que tant de données sont stockées dans le cloud, chaque organisation doit jouer un rôle dans la sécurité de ces données.
Des violations de données peuvent se produire si les exigences relatives au cloud ne sont pas respectées. La conformité cloud peut vous aider à tirer parti de la rentabilité, de la sauvegarde et de la récupération des données, ainsi que de l'évolutivité du cloud computing, tout en maintenant une sécurité solide.
Par exemple, les lois HIPAA dans le secteur des soins de santé imposent des méthodes et des directives de sécurité strictes pour certains types de données relatives à la santé des patients. Un autre exemple est celui des nouvelles lois régissant la confidentialité financière, qui ont été motivées par les changements survenus dans le secteur bancaire au cours des dernières décennies.
En substance, les clients du cloud doivent évaluer les pratiques de sécurité employées par leurs fournisseurs de la même manière qu'ils évalueraient leur sécurité interne. Les services proposés par le fournisseur de cloud doivent être évalués afin de vérifier s'ils répondent à leurs critères. Il existe de nombreuses façons de procéder. Les entreprises peuvent parfois choisir des prestataires de services uniquement sur la base de leur capacité à certifier leur conformité, sans prendre d'autres décisions à leur sujet. Les clients peuvent parfois avoir besoin d'accéder activement à la sécurité du fournisseur de services cloud afin de s'assurer qu'elle est conforme aux exigences légales et aux normes du secteur.
Qu'est-ce qu'un cadre de conformité cloud ?
Un cadre de conformité cloud rassemble les normes et les procédures recommandées pour protéger les ressources cloud. Certains cadres sont spécifiques à un secteur (comme ceux destinés aux industries de la défense ou de la santé), tandis que d'autres sont plus généraux et destinés à un usage général.
Exemples :
- Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) : l'objectif principal de ce cadre de conformité cloud est de protéger les transactions par carte de crédit. Il contrôle la manière dont les données des titulaires de cartes sont transmises et conservées.
- Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) : HIPAA est une loi régissant les soins de santé aux États-Unis qui traite des données des patients et de la manière dont les entreprises doivent les conserver et les utiliser. Ce cadre de conformité cloud précise également ce que les entreprises doivent faire en cas de divulgation des informations personnelles identifiables des patients.
- SOC 2 : ce cadre de conformité cloud évalue les systèmes d'information d'une organisation en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité ou de respect de la vie privée.
- Grâce au cadre de conformité cloud ISO 27001, une entreprise peut bénéficier d'une gestion fiable et sécurisée de la sécurité de l'information.
- Le National Institute of Standards and Technology (NIST) propose des normes et des lignes directrices pour le développement et la protection des systèmes d'information des agences gouvernementales. Le cadre de cybersécurité du NIST, le NIST 800-53 et le NIST 800-171 sont les trois cadres de conformité cloud qui peuvent être utilisés pour évaluer la conformité à la norme NIST.
- Le RGPD (Règlement général sur la protection des données) est le cadre européen de conformité cloud le plus connu et le plus important en matière de protection des données personnelles.
Composantes du cadre de conformité cloud
Voici les principaux composants du cadre de conformité du cloud :
Gouvernance
Ces filtres prédéfinis protègent vos informations privées contre toute exposition publique potentiellement préjudiciable. Les composants essentiels de la gouvernance du cloud sont les suivants :
Les organisations doivent inventorier tous les services cloud et toutes les données hébergées dans le cadre de la gestion des actifs, puis définir toutes les configurations afin de se prémunir contre les vulnérabilités. La caractérisation de la structure, de la propriété et des responsabilités du cloud fait partie de la stratégie et de la conception du cloud et intègre la sécurité du cloud. Les contrôles financiers comprennent un processus d'approbation de l'acquisition de services cloud et d'équilibrage entre la rentabilité et l'utilisation du cloud.
Contrôle des changements
Le contrôle des changements devient plus difficile en raison des deux principaux avantages du cloud : la rapidité et la flexibilité. Les erreurs de configuration problématiques dans le cloud sont souvent causées par un contrôle inadéquat des changements. Les organisations peuvent utiliser l'automatisation pour vérifier les configurations et garantir en permanence le bon déroulement des procédures de changement.
Dans le cloud, les contrôles de gestion des identités et des accès (IAM (IAM) subit fréquemment plusieurs changements. Les meilleures pratiques IAM pour votre environnement cloud sont répertoriées ci-dessous :
- Surveillez toujours les comptes root, car ils peuvent donner accès à des ressources dangereuses et incontrôlées. Mettez en place une authentification multifactorielle (MFA) pour l'accès et, au minimum, surveillez-les à l'aide de filtres et d'alarmes. Si possible, désactivez-les.
- Utilisez un accès basé sur les rôles et des privilèges au niveau du groupe pour fournir un accès en fonction des besoins de l'organisation et du principe du moindre privilège.
- Établissez des règles efficaces de gestion des identifiants et des clés, désactivez et institutionnalisez les comptes inactifs.
Surveillance continue
En raison de la complexité et de la nature dispersée du cloud, il est essentiel de surveiller et d'enregistrer toutes les activités. La vérification de la conformité repose sur les éléments suivants : qui, quoi, quand, où et comment des événements, ce qui permet aux entreprises d'être prêtes pour les audits. Les opérations suivantes doivent être effectuées lors du suivi et de l'enregistrement des données dans votre environnement cloud :
- N'oubliez pas d'activer la journalisation pour toutes les ressources cloud.
- Les journaux doivent être cryptés et ne pas être conservés dans un espace de stockage accessible au public.
- Définissez vos mesures, vos alarmes et vos enregistrements d'activité.
- Contrôle des vulnérabilités
Rapports
Les rapports fournissent des preuves récentes et passées de conformité. Considérez ces rapports comme votre empreinte de conformité ; ils vous seront utiles lors des audits. Si votre conformité venait à être remise en question, un calendrier détaillé de toutes les activités menant à un incident et suivant celui-ci pourrait constituer une preuve essentielle. La durée pendant laquelle vous devez conserver ces enregistrements dépend des réglementations spécifiques ; certaines ne demandent qu'un mois ou deux, tandis que d'autres exigent une durée beaucoup plus longue. En cas de panne du système sur site ou de catastrophe naturelle, votre équipe doit conserver tous les documents dans un endroit sûr et séparé.
Cadres communs de conformité du cloud
Ces cadres de conformité cloud s'appliquent spécifiquement aux exigences de conformité cloud. Les fournisseurs de services cloud et leurs clients doivent comprendre les spécificités de ces cadres.
La matrice de contrôle de la Cloud Security Alliance est un ensemble fondamental de contrôles de sécurité qui sert de point de départ aux fournisseurs de sécurité, renforçant les paramètres de contrôle de sécurité et facilitant les audits. Cette méthodologie aide également les clients potentiels à évaluer le profil de risque des fournisseurs de services cloud potentiels.
Les organisations qui souhaitent travailler avec une agence fédérale doivent se conformer à l'ensemble d'exigences de sécurité des données liées au cloud FedRAMP. L'objectif de FedRAMP est de garantir que toutes les installations cloud utilisées par le gouvernement fédéral offrent une sécurité minimale des données et des applications.
Sarbanes-Oxley (SOX) est un ensemble de réglementations qui contrôlent la manière dont les sociétés cotées en bourse divulguent leurs données financières afin de protéger les consommateurs contre la fraude ou les erreurs de déclaration. Bien que les normes SOX ne soient pas spécifiques à la sécurité, elles couvrent diverses mesures de sécurité informatique car elles soutiennent l'intégrité des données.
Cadres axés sur la sécurité
Les législations spécifiques à la sécurité suivantes peuvent aider les organisations qui traitent des données sensibles en établissant normes de comportement. ces cadres offrent le processus et structure nécessaires pour prévenir incidents préjudiciables.
La norme ISO 27001 est un ensemble d'exigences relatives aux systèmes de gestion de la sécurité de l'information qui prouve que votre entreprise suit les meilleures pratiques du secteur et s'engage à protéger les données de ses clients.
Cadre de cybersécurité du NIST : Cette référence fondamentale en matière de politiques et de procédures pour les entreprises évalue leur capacité à gérer et à contrer les menaces en ligne. Ce cadre aide à identifier et à gérer les risques et sert de manuel des meilleures pratiques pour les professionnels de la sécurité.
Cadres cloud avec une bonne architecture
Ces cadres, qui couvrent souvent l'efficacité opérationnelle, la sécurité et les facteurs coût-valeur, peuvent être considérés comme des normes de bonnes pratiques pour les architectes cloud.
Ce cadre, développé par Amazon Web Services, aide les architectes à concevoir des charges de travail et des applications sur le cloud Amazon. Grâce à ce cadre, qui repose sur une série de questions permettant d'analyser les environnements cloud, les clients ont accès à une ressource fiable pour l'évaluation de l'architecture. Les cinq principes directeurs des architectes Amazon sont l'excellence opérationnelle, la sécurité, la fiabilité, l'efficacité des performances et l'optimisation des coûts.
Le Google Cloud Architected Framework sert de base au développement et à l'amélioration des solutions cloud de Google. Quatre principes fondamentaux (l'excellence opérationnelle, la sécurité et la conformité, la fiabilité et l'optimisation des coûts de performance) sont au cœur de ce cadre, qui sert de feuille de route aux architectes.
Guide du marché du CNAPP
Obtenez des informations clés sur l'état du marché CNAPP dans ce Gartner Market Guide for Cloud-Native Application Protection Platforms.
Lire le guideConclusion
Malgré leurs différences, la sécurité et la conformité sont liées et ont beaucoup en commun. Ces chevauchements peuvent entraîner des failles dangereuses dans la défense. L'utilisation du Cloud Compliance Framework vous aidera à renforcer votre sécurité. Les organisations peuvent détecter et gérer les recoupements entre les stratégies d'atténuation des risques liés à la sécurité et à la conformité en utilisant des solutions de conformité innovantes et continues, telles que celles proposées par SentinelOne, afin de créer des environnements plus sûrs.
FAQ sur le cadre de conformité cloud
Un cadre de conformité cloud est un ensemble de règles et de bonnes pratiques destiné à aider les organisations à gérer la sécurité et à respecter les exigences légales dans les environnements cloud. Il fournit des conseils sur la manière de protéger les données, de contrôler les accès, de surveiller l'activité et de rendre compte de la conformité.
Le respect d'un tel cadre vous aide à vous conformer aux lois en vigueur dans votre secteur et à éviter des violations coûteuses, tout en garantissant la sécurité des ressources cloud.
Les organisations en ont besoin pour réduire les risques de violations et de sanctions légales. Il crée un processus clair pour appliquer de manière cohérente les contrôles de sécurité et suivre le respect des lois telles que le RGPD ou l'HIPAA. Un bon cadre permet également d'instaurer la confiance auprès des clients et des partenaires en leur montrant que vous gérez leurs données de manière responsable. Sans cela, les configurations cloud peuvent devenir un patchwork présentant des failles que les pirates peuvent exploiter.
Parmi les cadres les plus populaires, on peut citer le cadre de cybersécurité du NIST (CSF) pour la gestion globale des risques, les contrôles CIS pour les mesures de sécurité pratiques, la norme ISO/IEC 27001 pour les normes de systèmes de gestion, la matrice de contrôle du cloud CSA pour les vérifications spécifiques au cloud et le FedRAMP utilisé par les clouds du gouvernement américain.
Chacun d'entre eux définit des exigences de conformité, mais votre choix dépendra de votre secteur d'activité, de votre emplacement géographique et de votre utilisation du cloud.
Une bonne règle consiste à auditer les environnements cloud au moins une fois par trimestre. Si vous traitez des données réglementées ou lancez souvent de nouveaux services, augmentez cette fréquence. Les outils de surveillance continue peuvent signaler les problèmes entre les audits. Des examens fréquents permettent de détecter rapidement les erreurs de configuration ou les dérives afin que vous ne tombiez pas en infraction sans vous en apercevoir.
Le secteur de la santé s'appuie principalement sur la loi HIPAA pour protéger les informations des patients. Le secteur financier suit souvent la norme PCI-DSS pour les données de cartes bancaires et la norme SOC 2 pour les prestataires de services. Les agences gouvernementales imposent généralement la norme FedRAMP pour l'utilisation du cloud. Certains secteurs adoptent également le RGPD pour la confidentialité des données s'ils opèrent en Europe. Choisissez les cadres en fonction des réglementations de votre secteur et de l'emplacement de vos données.
