Qu’est-ce que la conformité cloud ou cloud compliance ?

Lorsque vous stockez des données sensibles sur un serveur cloud tiers, il est impératif que cet hôte tiers soit conforme à toutes les normes réglementaires de protection et de confidentialité des données. Les hébergeurs de cloud ont des certifications de conformité et des audits spécifiques qu’ils doivent passer pour garantir la cybersécurité, mais il incombe à l’organisation de trouver le bon fournisseur en fonction des exigences de cybersécurité du secteur d’activité.

Les organismes de santé, financiers et gouvernementaux, par exemple, doivent trouver des fournisseurs de services en cloud conformes à diverses normes industrielles. Si un fournisseur fait appel à un hôte non conforme, l’entreprise pourrait être tenue de payer des pénalités et des frais élevés après une violation des données.

Les infrastructures multi-cloud ne sont pas rares pour les grandes entreprises. Les organisations tirent parti d’un stockage en cloud efficace, rapide et abordable, mais cela augmente leur surface d’attaque.

Une grande partie du risque dépend de la manière dont le cloud computing est intégré dans l’environnement actuel. Un cloud public peut être ouvert aux utilisateurs en dehors du périmètre (par exemple, les applications des clients ou les employés en déplacement), ce qui en fait une cible pour les mauvais acteurs.

L’infrastructure de cloud hybride combine un cloud privé et un cloud public. Cette configuration présente donc également ses propres risques de sécurité qui doivent être atténués.

Un fournisseur de cloud énumérera les garanties de conformité dans son accord de niveau de service (SLA), mais c’est à l’entreprise d’auditer les fournisseurs et de s’assurer que les données transférées vers des solutions tierces sont sûres. Les exigences que vous devez respecter dépendent de l’infrastructure que vous prévoyez d’exploiter.

Si vous prévoyez de travailler uniquement avec le stockage en cloud, alors le fournisseur doit avoir mis en place une sécurité pour vous protéger de la divulgation des données. En revanche, l’utilisation d’une infrastructure en tant que service (IaaS) permet d’intégrer les ressources du cloud dans les procédures quotidiennes ; il faut donc prévoir une gestion des accès, une surveillance et une détection des intrusions appropriées.

La plupart des normes réglementaires prévoient des sanctions pour les organisations jugées négligentes après une violation de la sécurité. Par exemple, les violations de l’HIPAA coûtent aux organisations entre 100 et 50 000 dollars par violation (par enregistrement), en fonction de l’analyse d’un auditeur au cours des enquêtes médico-légales.

La norme PCI-DSS, qui supervise les transactions des commerçants (par exemple, les paiements par carte de crédit en ligne), impose aux entreprises des amendes allant de 5 000 à 100 000 dollars par mois jusqu’à ce que le commerçant remédie à toutes les violations.

La principale difficulté pour de nombreuses entreprises est qu’elles ne disposent pas d’un expert en mesure de les guider vers une conformité adéquate en matière de cloud computing. La première étape consiste à comprendre quelle norme de conformité au cloud couvre les données que vous stockez ou que vous allez transférer vers un hôte cloud. Il en existe plusieurs à prendre en compte, mais voici quelques-unes des plus courantes :

• Sarbanes-Oxley (SOX) : Se concentre sur les méthodes utilisées par les organisations pour stocker et enregistrer les transactions commerciales et les dossiers financiers.
• Loi CAN-SPAM : Pour toute organisation qui souhaite envoyer des emails de marketing, cette loi détermine le mode de fonctionnement des options d’inclusion et d’exclusion et les personnes qui peuvent recevoir des emails non sollicités.
• Health Insurance Portability and Accountability Act (HIPAA) : Se concentre sur les données médicales et de soins de santé sensibles et sur la manière dont elles sont stockées, accessibles et contrôlées.
• Norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) : Supervise les commerçants et les sites qui traitent les paiements par carte de crédit et les paiements bancaires.
• Loi fédérale sur la gestion de la sécurité de l’information (FISMA) : Exige que les entités financières et gouvernementales développent, documentent et déploient la sécurité de l’information pour protéger les données sensibles des clients.

Après avoir identifié les données et les normes de conformité applicables à votre entreprise, l’étape suivante consiste à déterminer la manière dont les données seront stockées, transférées, affichées et archivées.

L’un des aspects clés de chaque norme de conformité est la surveillance requise pour tout système. Une piste d’audit est également essentielle pour déterminer qui a accédé aux données et quand. Par exemple, chaque fois qu’un utilisateur accède à un dossier financier ou médical, le nom du compte de l’utilisateur, les données auxquelles il a accédé, l’adresse IP de l’appareil utilisé et l’heure à laquelle il a accédé doivent être enregistrés dans une piste d’audit.

Le bon fournisseur d’informatique en cloud possède toutes les caractéristiques de sécurité des informations nécessaires à la conformité de l’informatique en cloud. La plupart des fournisseurs de cloud computing ont une responsabilité partagée, ce qui signifie que le fournisseur promet de garder l’infrastructure sécurisée et offre les bons outils de sécurité, mais qu’il incombe au client de configurer et de sécuriser ses données.

Les fournisseurs de cloud computing ont leurs propres normes de conformité qu’ils doivent respecter, mais les organisations doivent rechercher un fournisseur qui offre les bons outils. Ces outils vous permettent de mettre en œuvre la bonne sécurité des informations, les normes de stockage, les fonctions de surveillance et la structure de journalisation qui suivent les normes de conformité.

Gestion des identités et des accès

L’accès aux données doit suivre le principe du moindre privilège, mais il faut quand même trouver un moyen de gérer l’accès des utilisateurs. L’accès des utilisateurs doit être accordé et révoqué selon les besoins, y compris l’accès physique aux données.

Les accès physiques et virtuels sont tout aussi importants. Un fournisseur de cloud computing disposera de contrôles de sécurité physiques, mais il incombe à l’organisation de gérer correctement les autorisations et l’accès aux données à l’aide des contrôles du cloud computing. Ces contrôles doivent consigner chaque fois qu’un utilisateur s’authentifie dans le système, accède aux données et échoue à s’authentifier.

Surveillance et notifications

Tout fournisseur de services en cloud conforme a mis en place des dispositions pour surveiller le trafic réseau. Les données sensibles auxquelles on accède trop souvent ou pour lesquelles plusieurs demandes d’accès ont échoué doivent donner lieu à une alerte envoyée à un administrateur qui peut examiner et analyser le problème.

Dans les environnements de grandes entreprises, plusieurs composants peuvent interagir. Ces composants doivent également être surveillés en tant que vecteur d’attaque potentiel lors d’une violation de données.

Détection et prévention des intrusions

Dans les menaces persistantes avancées, les attaquants conservent l’accès à l’infrastructure pendant des mois. Il ne faut que quelques minutes à un attaquant pour exfiltrer des données, de sorte que le fait de disposer de plusieurs mois pour compromettre divers systèmes peut être dévastateur pour l’organisation. La détection et la prévention des intrusions permettent de stopper les brèches avant qu’elles ne se produisent.

Il ne suffit pas d’avoir ces systèmes en place. Vous pouvez disposer de tous les composants nécessaires à la sécurité de l’information et les configurer, mais comment savoir s’ils sont efficaces contre une attaque réelle ? L’organisation doit procéder à des tests de pénétration en utilisant des tests automatisés et manuels pour s’assurer que les fonctions de sécurité sont correctement configurées et mises en œuvre. Les logiciels doivent être soumis à des tests de pénétration afin d’éviter toute compromission due aux vulnérabilités des applications internes.

Un bon fournisseur de services en cloud dispose de plusieurs centres de données dans le monde entier pour assurer la fiabilité et l’intégrité. L’emplacement physique de ces centres de données et de l’endroit où sont stockées vos données est un autre facteur de conformité, mais les centres de données doivent également être situés à proximité de la principale base de clients de l’organisation et des lieux de travail des employés. La géolocalisation la plus proche de la plupart des utilisateurs améliorera la vitesse pour ces derniers.

Le fait de disposer de plusieurs centres de données offre également une meilleure fiabilité, et de nombreux fournisseurs de cloud computing offrent une disponibilité de 100 % grâce aux multiples contrôles de basculement entre les centres de données. Même avec la fiabilité et la stabilité offertes par les fournisseurs de cloud computing, la corruption des données et les failles de sécurité peuvent nécessiter une reprise après sinistre.

Un plan de reprise après sinistre décrit toutes les étapes à suivre en cas de sinistre, afin que la reprise puisse se faire en douceur et le plus rapidement possible, sans perte de données. Les plans de reprise après sinistre sont exigés dans certaines normes de conformité du cloud.

Enfin, le chiffrement doit être l’un des principaux facteurs de sécurité dans le transfert et le stockage des données. En fonction des données stockées, les dispositifs de stockage doivent être chiffrés. Le transfert de données sur le réseau doit toujours être chiffré pour éviter les attaques de type “man-in-the-middle” (MitM) et la compromission. Les mots de passe, les secrets, les jetons d’accès, les clés API et toute donnée privée permettant d’accéder au système doivent également être chiffrés.

Évitez de stocker ces données dans des fichiers non chiffrés dans les répertoires d’applications et les dépôts de codebase.

L’accord de niveau de service (SLA) d’un fournisseur détaillera toutes les garanties et assurances offertes aux clients, mais lorsque vous avez besoin de protections spécifiques, il est préférable de contacter un fournisseur et de lui demander s’il offre des fonctions de sécurité spécifiques.

N’oubliez pas que les fournisseurs ont une responsabilité partagée avec votre organisation. Ainsi, les fournisseurs vous fournissent les outils et la fiabilité, mais la configuration adéquate relève de la responsabilité du personnel informatique de l’organisation.

Une fois que vous avez déployé toutes les ressources, effectuez toujours des tests de pénétration des composants de sécurité à l’aide d’outils manuels et automatisés. Vous vous assurerez ainsi que vos données sont protégées contre les exploits courants et complexes. Grâce à la surveillance, un attaquant ayant un accès non autorisé devrait être détecté et une notification envoyée aux administrateurs.