Présentation de la conformité du cloud
Exigences et meilleures pratiques de mise en conformité de vos environnements cloud
Le cloud est désormais la base de la plupart des projets des équipes de développement. D’après le rapport State of Cloud Native Application Security établi par Snyk, 78 % des charges de travail en production sont déployées sous forme de conteneurs, le principal mécanisme de déploiement des applications natives du cloud, ou sous forme d’applications sans serveur. Par ailleurs, plus de 50 % des charges de travail des personnes interrogées dans le cadre de ce rapport sont déployées avec une forme ou une autre d’infrastructure en tant que code (IaC).
Cette prévalence du cloud a entraîné une multiplication des exigences de conformité. Certes, les pratiques de développement pour le cloud ont permis d’accélérer le déploiement, de simplifier la gestion et de réduire les coûts, mais elles ont aussi introduit des défis spécifiques à la sécurité du cloud. En effet, les services cloud sont à l’origine d’un environnement de menaces plus complexe et plus dynamique que celui des applications sur site. À cette différence vient s’ajouter une liste toujours plus longue de réglementations de conformité applicables au cloud. Par conséquent, il n’a jamais été aussi important de mettre en place une posture de sécurité du cloud de haut niveau.
Qu’est-ce que la conformité du cloud ?
La conformité du cloud consiste pour une entreprise à respecter les normes réglementaires applicables à l’utilisation du cloud. Chaque entreprise doit respecter différentes obligations de conformité en fonction de son secteur d’activité, de ses clients, de sa localisation, etc. Ces normes peuvent être des directives sectorielles, mais aussi des lois locales, nationales et internationales.
Plusieurs références reconnues dans le secteur, à l’image des benchmarks CIS, des 18 contrôles de sécurité stratégiques du CIS et de la Cloud Controls Matrix (CCM) de la CA permettent de comprendre à quoi ressemble une conformité du cloud d’excellence. Voici une liste de quelques meilleures pratiques de sécurité du cloud :
Obtenir une visibilité sur l’environnement en créant un inventaire de vos ressources logicielles
Adopter le principe de « responsabilité partagée » (sans compter uniquement sur votre fournisseur de services cloud pour assurer la sécurité)
Établir des contrats de niveau de service (SLA) clairs avec vos fournisseurs de services cloud et comprendre comment chacun gère vos données
Assurer une protection des données forte en suivant les normes de chiffrement et de traitement
Déployer un contrôle d’accès basé sur les rôles (RBAC), l’authentification multifacteur (MFA) et d’autres mesures de sécurisation des comptes
Pourquoi la conformité du cloud est-elle importante ?
Pour beaucoup, le principal intérêt de la conformité du cloud est simple : éviter amendes et pénalités. En réalité, il existe de nombreuses raisons justifiant de donner la priorité à la conformité du cloud. Le maintien de la conformité à ces lois et réglementations contribue par exemple à une meilleure posture de sécurité, et donc à une limitation du risque de cyberattaque. Par ailleurs, beaucoup de grands comptes demandent des preuves que l’ensemble de votre entreprise, y compris vos services cloud, y est conforme avant de signer un contrat.
Lois et réglementations courantes
En matière de conformité du cloud, vous devez connaître diverses lois et réglementations. Voici les plus importantes :
Protection des informations personnelles des clients. En fonction de votre secteur d’activité et des marchés sur lesquels vous êtes actif, il peut s’agir de respecter la loi Health Insurance Portability and Accountability Act (HIPAA) ou le Règlement général sur la protection des données (RGPD).
Maintenir les configurations sécurisées recommandées par les benchmarks CIS, les contrôles du CIS et la Cloud Controls Matrix (CCM) de la CSA.
Respecter des clauses de sécurité lors de l’élaboration de contrats avec des tiers. Par exemple, suivre les règles Payment Card Industry Data Security Standard (PCI DSS) lors de la collaboration avec des émetteurs de cartes.
Maintenir la conformité à des normes applicables à la sécurité des informations comme ISO 27001.
Corriger tout problème détecté lors d’un audit interne ou externe, et en particulier les non-conformités à un rapport d’audit SOC 2.
Que sont les normes de conformité du cloud ?
Comme nous l’avons vu, les entreprises peuvent choisir de suivre différentes normes de gestion des données dans le cloud. Parmi les principales, citons :
SOC 2
Le cadre de reporting System and Organization Controls (SOC) 2 prouve qu’une entreprise a pris des mesures pour protéger les données de ses clients. En matière de conformité, SOC 2 constitue l’une des certifications officielles les plus importantes qu’une organisation puisse obtenir. Elle évalue cinq domaines :
Sécurité : les informations et systèmes sont protégés de toute menace susceptible de compromettre leur disponibilité, l’intégrité de leur traitement ou leur confidentialité.
Disponibilité : les systèmes sont disponibles au niveau contractuel convenu, par exemple dans un contrat de niveau de service (SLA).
Intégrité du traitement : le traitement par les systèmes s’exécute sans accroc et atteint le but désiré sans restriction, de manière fluide et conformément au processus autorisé.
Confidentialité : les informations marquées comme confidentielles sont protégées.
Protection de la vie privée : les informations personnelles sont collectées, utilisées, conservées, divulguées et supprimées conformément à la politique de confidentialité de l’entreprise et d’autres normes externes.
Pour en savoir plus sur la conformité à la norme SOC 2 dans le cloud, cliquez ici.
PCI DSS
PCI DSS se concentre sur la sécurisation des transactions par carte de crédit et débit contre le vol de données, les violations et la fraude. Cette norme est considérée comme un framework de conformité facultatif. Néanmoins, toute entreprise traitant des paiements par carte devrait la respecter pour protéger les données de paiement sensibles et gagner la confiance de ses clients.
HIPAA
La loi Health Insurance Portability and Accountability Act (HIPAA) de 1996 interdit la divulgation d’informations de santé protégées sans le consentement ou la connaissance du patient. Ces normes s’appliquent aux entreprises qui manipulent des données médicales ou de santé pour quelque raison que ce soit et sont imposées par le Département de la Santé, de l’Éducation et des Services sociaux des États-Unis.
Consultez notre article relatif aux normes et frameworks de conformité du cloud pour en savoir plus sur les différentes normes de conformité.
Conformité du cloud sur différentes plateformes
Si la plupart des fournisseurs de services cloud (AWS, Microsoft Azure, etc.) prennent des mesures de sécurité robustes, ils proposent aussi un modèle dit de « responsabilité partagée ». Ce type de gouvernance prévoit que le fournisseur cloud et le client procéderont chacun à une diligence raisonnable pour sécuriser au maximum les opérations intervenant dans le cloud. Voici comment les plus grands fournisseurs gèrent la conformité :
AWS
Dans le cadre de son modèle de responsabilité partagée, AWS « est responsable de la protection de l’infrastructure exécutant tous les services proposés dans le cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les AWS Cloud services. »
AWS propose aussi quelques outils utiles qui peuvent vous aider à lancer votre programme de sécurité du cloud. Par exemple, l’outil AWS Well-Architected permet aux architectes de créer une infrastructure respectant de près les principes de SOC2, notamment en matière d’excellence opérationnelle, de fiabilité et de durabilité. Pour en savoir plus sur ce modèle de responsabilité partagée, cliquez ici.
Conformité GPC
Google Cloud Platform (GCP) respecte également de nombreuses normes de conformité. La plateforme se soumet régulièrement à une vérification indépendante de ses contrôles afin d’obtenir des certifications officielles pour ses produits. Elle propose également diverses ressources et documentations que ses clients peuvent utiliser pour mettre en place leurs propres programmes de reporting et de conformité.
L’outil Cloud Data Loss Prevention fait partie de ces ressources. Ce service de découverte des données aide les entreprises à découvrir, classer et protéger leurs données sensibles.
Conformité Microsoft Azure
D’après Microsoft, « Azure maintient le plus vaste portefeuille de conformité du secteur, que ce soit en nombre de produits ou en nombre de services destinés au client concernés. »
Le site inclut une liste complète des obligations de conformité respectées par la plateforme, ainsi que des services en option pouvant être ajoutés sur les machines Azure d’un client. L’un de ces services est nommé Centre de gestion des mises à jour. Il permet aux équipes de centraliser les mises à jour et la conformité pour une multitude de machines.
Conformité Kubernetes
Kubernetes encourage vivement ses utilisateurs à respecter les meilleures pratiques de conformité, mais laisse une bonne partie de la sécurité du cloud à la charge du client et du fournisseur de services cloud. L’entreprise vous accompagne dans la sécurisation de l’infrastructure en fournissant des conseils relatifs à l’implémentation d’un contrôle d’accès au plan de contrôle, aux nœuds, à l’API des fournisseurs de services cloud et à etcd (le datastore de Kubernetes).
Meilleures pratiques de conformité du cloud
Quelle que soit la plateforme cloud que vous utilisez, votre équipe peut prendre différentes mesures pour assurer une conformité de haut niveau et améliorer votre posture de sécurité en général.
Apprenez à connaître votre configuration cloud
Décomposez la conformité en un processus
Répétez votre processus de conformité
Tirez parti des politiques et de la politique en tant que code pour la conformité, la sécurité et les données
Vérifiez la conformité de votre fournisseur de services cloud
1. Apprenez à connaître votre configuration cloud
Commencez par définir quels environnements et ressources cloud vos équipes techniques utilisent. Faites-vous appel à des fournisseurs différents sur des environnements privés et publics ? Il est aussi important de bien comprendre quelles données sont stockées dans le cloud et quels sont les membres de votre organisation qui peuvent y accéder.
2. Décomposez la conformité en un processus
Plutôt que de considérer la conformité comme un projet à courte échéance, essayez de l’intégrer à vos opérations du quotidien. Plus précisément, déterminez comment les contrôles et normes de conformité doivent s’appliquer dans le contexte des systèmes cloud de votre organisation. Voici un exemple simplifié de processus de sécurité du cloud que votre entreprise pourrait adopter :
Déterminer l’état actuel
Identifier les lacunes
Combler ces lacunes
Prouver la conformité et la surveiller
3. Répétez votre processus de conformité
La conformité n’est pas un projet ponctuel. De nouvelles formes de données arriveront toujours dans vos systèmes, et de nouveaux environnements apparaîtront constamment au sein de votre organisation. Par conséquent, la conformité doit devenir une habitude et se traduire par des pratiques régulières.
4. Tirez parti des politiques et de la politique en tant que code pour la conformité, la sécurité et les données
Un des meilleurs moyens de faire de la conformité une pratique de routine est de miser sur la politique en tant que code (PaC) ou la gestion de la posture de sécurité dans le cloud (CSPM). Ces automatisations peuvent réduire le temps et les efforts nécessaires pour préserver la conformité. La PaC permet de codifier les normes de conformité afin d’empêcher les utilisateurs de réaliser des actions non conformes. La CSPM aide les entreprises à détecter et corriger automatiquement les risques de sécurité et de conformité de l’infrastructure cloud, y compris dans les environnements de cloud hybride, multicloud ou de conteneurs. Pour en savoir plus sur les outils de conformité du cloud, consultez l’article suivant de notre série.
5. Vérifiez la conformité de votre fournisseur de services cloud
La plupart des fournisseurs majeurs (AWS, GCP et Azure) sont conformes aux grandes normes, mais vérifiez vos SLA pour comprendre où s’arrêtent leurs responsabilités et où commencent les vôtres. En résumé : ne vous basez pas sur de simples hypothèses et assurez-vous que chaque facette de la conformité est gérée soit en interne, soit par votre fournisseur.
Ce que Snyk peut apporter à votre conformité cloud
Snyk Cloud utilise un moteur de politique en tant que code unifié pour permettre aux équipes de développer, déployer et faire fonctionner les solutions en toute sécurité dans le cloud. Nous fournissons des garde-fous de sécurité pour les principaux fournisseurs de services cloud. Les politiques qui garantissent que les environnements cloud d’exécution sont sécurisés et conformes s’appliquent aussi au pré-déploiement de l’infrastructure en tant que code.
Snyk aide également les entreprises à atteindre leurs objectifs de conformité en leur fournissant les fonctions suivantes :
Analyse complète des vulnérabilités s’intégrant de manière transparente aux IDE, référentiels et workflows de vos développeurs.
Gestion de la conformité des licences des systèmes d’exploitation permettant aux développeurs de tester les licences des SE plus tôt dans le cycle du développement logiciel, automatise l’analyse des licences pour créer des PR, suit les chemins des dépendances et plus encore.
Rapports en temps réel pour aider les équipes à fournir des preuves d’analyse des vulnérabilités et des correctifs appliqués aux auditeurs et clients potentiels.
Formation de sécurité gratuite et accessible pour aider les équipes de développement à reprendre la main sur leur parcours de formation à la sécurité.
Enfin, Snyk évalue en permanence la conformité aux politiques de sécurité réglementaires et internes à l’aide de rapports en temps réel et historiques, destinés aux ingénieurs de la sécurité et aux équipes GRC. Nous proposons également une plateforme de sécurité des développeurs qui vient combler l’écart entre les pratiques de sécurité des applications et de sécurité du cloud au sein de votre organisation.
Tirez parti d’une conformité complète et optimale de la sécurité du cloud dès la première utilisation. Contactez-nous dès aujourd’hui pour demander une démonstration.
Sécurité IaC conçue pour les développeurs
Snyk assure la sécurité de votre infrastructure en tant que code du cycle du développement logiciel à son exécution dans le cloud avec un moteur de politique en tant que code unifié pour permettre à chaque équipe de développer, déployer et faire fonctionner les solutions en toute sécurité dans le cloud.
FAQ sur la conformité du cloud
Quelles normes de conformité s’appliquent au cloud ?
De nombreuses normes de conformité s’appliquent au cloud, notamment SOC 2, HIPAA, GDPR, PCI (ou PCI DSS), NIST 800-53 et ISO 27001. Ces exigences de conformité tiennent compte de l’ensemble de la posture de sécurité de votre organisation, et elles incluent donc les environnements cloud.
Même si vos fournisseurs de services cloud mettent en place des mesures permettant de respecter ces normes, ils suivent ce que l’on appelle une politique de « responsabilité partagée » qui part du principe que votre entreprise porte elle aussi une responsabilité dans la sécurisation des opérations cloud utilisant leurs services.
Que sont les normes de sécurité du cloud ?
Les normes de sécurité du cloud sont variables suivant les entreprises. Ils dépendent de divers facteurs métier. Des normes reconnues du secteur comme les benchmarks CIS, les contrôles CIS, et la Cloud Controls Matrix de la CSA fournissent des lignes directrices aux organisations. Certains de leurs principes se concentrent sur la gestion des contrôles d’accès, les pratiques permettant de générer une visibilité et un inventaire complets, la protection des données et la gestion de l’infrastructure.
Comment respecter la norme SOC 2 avec AWS
AWS respecte les réglementations SOC 2 et fournit les documents qui le prouvent. Ce fournisseur suit également le principe de « responsabilité partagée », ce qui signifie que toute entreprise utilisant AWS doit réaliser certaines actions elle aussi. C’est au client AWS qu’il revient ainsi de configurer les bonnes politiques, de mettre en place des contrôles de sécurité du cloud et de demander un audit SOC 2 pour recevoir un rapport SOC 2 Type II.
Comment se conformer à la loi HIPAA avec Azure
Azure fournit quelques recommandations en lien avec des frameworks et normes de sécurité du cloud bien connus qu’une entreprise doit suivre pour sécuriser les données de sorte à respecter les exigences de la loi HIPAA. Nous pouvons par exemple citer le NIST Cyber Security Framework et la Cloud Controls Matrix de la Cloud Security Alliance. De plus, Microsoft peut conclure des accords d’association commerciale (BAA) pour aider les entreprises devant respecter les exigences HIPAA.