Présentation de la conformité du cloud

Le cloud est désormais la base de la plupart des projets des équipes de développement. D’après le rapport State of Cloud Native Application Security établi par Snyk, 78 % des charges de travail en production sont déployées sous forme de conteneurs, le principal mécanisme de déploiement des applications natives du cloud, ou sous forme d’applications sans serveur. Par ailleurs, plus de 50 % des charges de travail des personnes interrogées dans le cadre de ce rapport sont déployées avec une forme ou une autre d’infrastructure en tant que code (IaC).

Cette prévalence du cloud a entraîné une multiplication des exigences de conformité. Certes, les pratiques de développement pour le cloud ont permis d’accélérer le déploiement, de simplifier la gestion et de réduire les coûts, mais elles ont aussi introduit des défis spécifiques à la sécurité du cloud. En effet, les services cloud sont à l’origine d’un environnement de menaces plus complexe et plus dynamique que celui des applications sur site. À cette différence vient s’ajouter une liste toujours plus longue de réglementations de conformité applicables au cloud. Par conséquent, il n’a jamais été aussi important de mettre en place une posture de sécurité du cloud de haut niveau.

Plusieurs références reconnues dans le secteur, à l’image des benchmarks CIS, des 18 contrôles de sécurité stratégiques du CIS et de la Cloud Controls Matrix (CCM) de la CA permettent de comprendre à quoi ressemble une conformité du cloud d’excellence. Voici une liste de quelques meilleures pratiques de sécurité du cloud :

• Obtenir une visibilité sur l’environnement en créant un inventaire de vos ressources logicielles

• Adopter le principe de « responsabilité partagée » (sans compter uniquement sur votre fournisseur de services cloud pour assurer la sécurité)

• Établir des contrats de niveau de service (SLA) clairs avec vos fournisseurs de services cloud et comprendre comment chacun gère vos données

• Assurer une protection des données forte en suivant les normes de chiffrement et de traitement

• Déployer un contrôle d’accès basé sur les rôles (RBAC), l’authentification multifacteur (MFA) et d’autres mesures de sécurisation des comptes 

Pourquoi la conformité du cloud est-elle importante ?

Pour beaucoup, le principal intérêt de la conformité du cloud est simple : éviter amendes et pénalités. En réalité, il existe de nombreuses raisons justifiant de donner la priorité à la conformité du cloud. Le maintien de la conformité à ces lois et réglementations contribue par exemple à une meilleure posture de sécurité, et donc à une limitation du risque de cyberattaque. Par ailleurs, beaucoup de grands comptes demandent des preuves que l’ensemble de votre entreprise, y compris vos services cloud, y est conforme avant de signer un contrat.

Lois et réglementations courantes

En matière de conformité du cloud, vous devez connaître diverses lois et réglementations. Voici les plus importantes :

• Protection des informations personnelles des clients. En fonction de votre secteur d’activité et des marchés sur lesquels vous êtes actif, il peut s’agir de respecter la loi Health Insurance Portability and Accountability Act (HIPAA) ou le Règlement général sur la protection des données (RGPD).

• Maintenir les configurations sécurisées recommandées par les benchmarks CIS, les contrôles du CIS et la Cloud Controls Matrix (CCM) de la CSA.

• Respecter des clauses de sécurité lors de l’élaboration de contrats avec des tiers. Par exemple, suivre les règles Payment Card Industry Data Security Standard (PCI DSS) lors de la collaboration avec des émetteurs de cartes.

• Maintenir la conformité à des normes applicables à la sécurité des informations comme ISO 27001.

• Corriger tout problème détecté lors d’un audit interne ou externe, et en particulier les non-conformités à un rapport d’audit SOC 2.

Que sont les normes de conformité du cloud ?

Comme nous l’avons vu, les entreprises peuvent choisir de suivre différentes normes de gestion des données dans le cloud. Parmi les principales, citons :

SOC 2

Le cadre de reporting System and Organization Controls (SOC) 2 prouve qu’une entreprise a pris des mesures pour protéger les données de ses clients. En matière de conformité, SOC 2 constitue l’une des certifications officielles les plus importantes qu’une organisation puisse obtenir. Elle évalue cinq domaines :

1. Sécurité : les informations et systèmes sont protégés de toute menace susceptible de compromettre leur disponibilité, l’intégrité de leur traitement ou leur confidentialité.

2. Disponibilité : les systèmes sont disponibles au niveau contractuel convenu, par exemple dans un contrat de niveau de service (SLA).

3. Intégrité du traitement : le traitement par les systèmes s’exécute sans accroc et atteint le but désiré sans restriction, de manière fluide et conformément au processus autorisé.

4. Confidentialité : les informations marquées comme confidentielles sont protégées.

5. Protection de la vie privée : les informations personnelles sont collectées, utilisées, conservées, divulguées et supprimées conformément à la politique de confidentialité de l’entreprise et d’autres normes externes.

Pour en savoir plus sur la conformité à la norme SOC 2 dans le cloud, cliquez ici.

PCI DSS

PCI DSS se concentre sur la sécurisation des transactions par carte de crédit et débit contre le vol de données, les violations et la fraude. Cette norme est considérée comme un framework de conformité facultatif. Néanmoins, toute entreprise traitant des paiements par carte devrait la respecter pour protéger les données de paiement sensibles et gagner la confiance de ses clients.

HIPAA

La loi Health Insurance Portability and Accountability Act (HIPAA) de 1996 interdit la divulgation d’informations de santé protégées sans le consentement ou la connaissance du patient. Ces normes s’appliquent aux entreprises qui manipulent des données médicales ou de santé pour quelque raison que ce soit et sont imposées par le Département de la Santé, de l’Éducation et des Services sociaux des États-Unis.

Consultez notre article relatif aux normes et frameworks de conformité du cloud pour en savoir plus sur les différentes normes de conformité.

Conformité du cloud sur différentes plateformes

Si la plupart des fournisseurs de services cloud (AWS, Microsoft Azure, etc.) prennent des mesures de sécurité robustes, ils proposent aussi un modèle dit de « responsabilité partagée ». Ce type de gouvernance prévoit que le fournisseur cloud et le client procéderont chacun à une diligence raisonnable pour sécuriser au maximum les opérations intervenant dans le cloud. Voici comment les plus grands fournisseurs gèrent la conformité :

AWS

Dans le cadre de son modèle de responsabilité partagée, AWS « est responsable de la protection de l’infrastructure exécutant tous les services proposés dans le cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les AWS Cloud services. »

AWS propose aussi quelques outils utiles qui peuvent vous aider à lancer votre programme de sécurité du cloud. Par exemple, l’outil AWS Well-Architected permet aux architectes de créer une infrastructure respectant de près les principes de SOC2, notamment en matière d’excellence opérationnelle, de fiabilité et de durabilité. Pour en savoir plus sur ce modèle de responsabilité partagée, cliquez ici.

Conformité GPC

Google Cloud Platform (GCP) respecte également de nombreuses normes de conformité. La plateforme se soumet régulièrement à une vérification indépendante de ses contrôles afin d’obtenir des certifications officielles pour ses produits. Elle propose également diverses ressources et documentations que ses clients peuvent utiliser pour mettre en place leurs propres programmes de reporting et de conformité.

L’outil Cloud Data Loss Prevention fait partie de ces ressources. Ce service de découverte des données aide les entreprises à découvrir, classer et protéger leurs données sensibles.

Conformité Microsoft Azure

D’après Microsoft, « Azure maintient le plus vaste portefeuille de conformité du secteur, que ce soit en nombre de produits ou en nombre de services destinés au client concernés. »

Le site inclut une liste complète des obligations de conformité respectées par la plateforme, ainsi que des services en option pouvant être ajoutés sur les machines Azure d’un client. L’un de ces services est nommé Centre de gestion des mises à jour. Il permet aux équipes de centraliser les mises à jour et la conformité pour une multitude de machines.

Conformité Kubernetes

Kubernetes encourage vivement ses utilisateurs à respecter les meilleures pratiques de conformité, mais laisse une bonne partie de la sécurité du cloud à la charge du client et du fournisseur de services cloud. L’entreprise vous accompagne dans la sécurisation de l’infrastructure en fournissant des conseils relatifs à l’implémentation d’un contrôle d’accès au plan de contrôle, aux nœuds, à l’API des fournisseurs de services cloud et à etcd (le datastore de Kubernetes).

Meilleures pratiques de conformité du cloud

Quelle que soit la plateforme cloud que vous utilisez, votre équipe peut prendre différentes mesures pour assurer une conformité de haut niveau et améliorer votre posture de sécurité en général.

1. Apprenez à connaître votre configuration cloud

2. Décomposez la conformité en un processus

3. Répétez votre processus de conformité

4. Tirez parti des politiques et de la politique en tant que code pour la conformité, la sécurité et les données

5. Vérifiez la conformité de votre fournisseur de services cloud
   

1. Apprenez à connaître votre configuration cloud

Commencez par définir quels environnements et ressources cloud vos équipes techniques utilisent. Faites-vous appel à des fournisseurs différents sur des environnements privés et publics ? Il est aussi important de bien comprendre quelles données sont stockées dans le cloud et quels sont les membres de votre organisation qui peuvent y accéder. 

2. Décomposez la conformité en un processus

Plutôt que de considérer la conformité comme un projet à courte échéance, essayez de l’intégrer à vos opérations du quotidien. Plus précisément, déterminez comment les contrôles et normes de conformité doivent s’appliquer dans le contexte des systèmes cloud de votre organisation. Voici un exemple simplifié de processus de sécurité du cloud que votre entreprise pourrait adopter :

1. Déterminer l’état actuel

2. Identifier les lacunes

3. Combler ces lacunes

4. Prouver la conformité et la surveiller

3. Répétez votre processus de conformité

La conformité n’est pas un projet ponctuel. De nouvelles formes de données arriveront toujours dans vos systèmes, et de nouveaux environnements apparaîtront constamment au sein de votre organisation. Par conséquent, la conformité doit devenir une habitude et se traduire par des pratiques régulières.

4. Tirez parti des politiques et de la politique en tant que code pour la conformité, la sécurité et les données

Un des meilleurs moyens de faire de la conformité une pratique de routine est de miser sur la politique en tant que code (PaC) ou la gestion de la posture de sécurité dans le cloud (CSPM). Ces automatisations peuvent réduire le temps et les efforts nécessaires pour préserver la conformité. La PaC permet de codifier les normes de conformité afin d’empêcher les utilisateurs de réaliser des actions non conformes. La CSPM aide les entreprises à détecter et corriger automatiquement les risques de sécurité et de conformité de l’infrastructure cloud, y compris dans les environnements de cloud hybride, multicloud ou de conteneurs. Pour en savoir plus sur les outils de conformité du cloud, consultez l’article suivant de notre série.

5. Vérifiez la conformité de votre fournisseur de services cloud

La plupart des fournisseurs majeurs (AWS, GCP et Azure) sont conformes aux grandes normes, mais vérifiez vos SLA pour comprendre où s’arrêtent leurs responsabilités et où commencent les vôtres. En résumé : ne vous basez pas sur de simples hypothèses et assurez-vous que chaque facette de la conformité est gérée soit en interne, soit par votre fournisseur.

Ce que Snyk peut apporter à votre conformité cloud

Snyk Cloud utilise un moteur de politique en tant que code unifié pour permettre aux équipes de développer, déployer et faire fonctionner les solutions en toute sécurité dans le cloud. Nous fournissons des garde-fous de sécurité pour les principaux fournisseurs de services cloud. Les politiques qui garantissent que les environnements cloud d’exécution sont sécurisés et conformes s’appliquent aussi au pré-déploiement de l’infrastructure en tant que code.

Snyk aide également les entreprises à atteindre leurs objectifs de conformité en leur fournissant les fonctions suivantes :

• Analyse complète des vulnérabilités s’intégrant de manière transparente aux IDE, référentiels et workflows de vos développeurs.

• Gestion de la conformité des licences des systèmes d’exploitation permettant aux développeurs de tester les licences des SE plus tôt dans le cycle du développement logiciel, automatise l’analyse des licences pour créer des PR, suit les chemins des dépendances et plus encore.

• Rapports en temps réel pour aider les équipes à fournir des preuves d’analyse des vulnérabilités et des correctifs appliqués aux auditeurs et clients potentiels.

• Formation de sécurité gratuite et accessible pour aider les équipes de développement à reprendre la main sur leur parcours de formation à la sécurité.

Enfin, Snyk évalue en permanence la conformité aux politiques de sécurité réglementaires et internes à l’aide de rapports en temps réel et historiques, destinés aux ingénieurs de la sécurité et aux équipes GRC. Nous proposons également une plateforme de sécurité des développeurs qui vient combler l’écart entre les pratiques de sécurité des applications et de sécurité du cloud au sein de votre organisation.

Tirez parti d’une conformité complète et optimale de la sécurité du cloud dès la première utilisation. Contactez-nous dès aujourd’hui pour demander une démonstration.

FAQ sur la conformité du cloud