Les acronymes que vous devez connaître pour évaluer la sécurité des offres Cloud
DÉMO
Nous contacter

Les acronymes que vous devez connaître pour évaluer la sécurité des offres Cloud

Technology

Les acronymes que vous devez connaître pour évaluer la sécurité des offres Cloud

June 30, 2016 Mark Goldin

La sécurité est, de manière évidente, l’une des principales préoccupations de toute entreprise cherchant à migrer et traiter des données dans le Cloud – particulièrement dans le domaine de la gestion des talents qui réclame une protection efficace des données personnelles sensibles. Mais il est moins évident de déterminer ce qu’il convient d’examiner lorsque vous évaluez des fournisseurs et leurs pratiques de sécurité. L’exercice est rendu encore plus complexe par la présence de nombreux acronymes associés aux normes et certifications de sécurité.

Voici un aperçu rapide des certifications que les fournisseurs de services de Cloud dédiés à la gestion des talents doivent afficher ou s’attacher à obtenir ; ce qu’elles signifient et pourquoi elles sont importantes.

ISO/IEC 27001:2013

Publié par ISO, une organisation internationale non-gouvernementale, ISO/IEC 27001:2013 est une norme qui « spécifie les exigences liées à l’établissement, la mise en œuvre, la maintenance et l’amélioration continuelle d’un système de gestion de la sécurité des informations dans le contexte de l’entreprise ».

En résumé, c’est une série de règles et contrôles dont l’objectif est d’aider une entreprise à gérer la sécurité de ses informations. Alors que ISO/IEC 27001:2013 était au départ une norme destinée aux entreprises européennes, elle est aujourd’hui adoptée par les entreprises du monde entier. De nombreuses entreprises exigent désormais de leurs fournisseurs Cloud qu’ils soient certifiés ISO (et qu’ils renouvellent cette certification), tout au long de leur contrat de service.

Gardez en tête la différence entre être « certifié ISO » et « conforme ISO ». La certification ISO démontre qu’une entreprise a d’une part satisfait à toutes les exigences de la norme ISO/IEC 27001:2013 ou d’un sous-ensemble spécifique de contrôles, et que d’autre part, le statut de ces contrôles a été vérifié par un auditeur indépendant. La certification est un processus continuel ; les auditeurs réalisent les contrôles chaque année et cherchent des domaines d’amélioration. Assurez-vous de demander à vos fournisseurs de services de Cloud une déclaration d’applicabilité (SOA), c’est à dire un document listant les contrôles réalisés lorsque le fournisseur a été audité.

« Conforme ISO » signifie qu’une entreprise déclare respecter les exigences de la norme ISO, mais qu’elle n’a pas encore été officiellement certifiée. Cette pratique est acceptable. Toutefois, les entreprises doivent prendre le temps d’étudier les mesures de sécurité du fournisseur, particulièrement si celui-ci est amené à prendre en charge des données sensibles.

ISO/IEC 27018:2014

De nombreux fournisseurs de services de Cloud sont en train d’ajouter le code de pratiques ISO/IEC 27018:2014 à leur certification ISO/IEC 27001. Norme plus récente, ISO/IEC 27018:2014 « établit des objectifs de contrôle, des contrôles et des directives communément acceptés pour mettre en œuvre des mesures de protection des informations personnelles identifiables, conformément aux principes de respect de la vie privée de la norme ISO/IEC 29100 concernant les environnements publics de cloud computing. »

A l’instar d’ISO/IEC 27001:2013, ISO/IEC 27018:2014 est en passe de devenir une exigence spécifique qui sera probablement intégrée dans le futur aux contrats de nombreux fournisseurs de services de Cloud.

SSAE 16 SOC 1 and SOC 2

La norme SSAE 16 (Statement on Standards for Attestation Engagements  No. 16), également connue sous le nom de SOC 1 (SOC = Service Organization Control) a été mise au point en 2010 par le Comité des normes d’audit de l’AICPA (American Institute of Certified Public Accountants). SSAE 16 décrit les contrôles que doit définir le fournisseur de services et vise à aider les entreprises à mieux comprendre les processus et procédures en place, ce qui contribue à renforcer la confiance dans les prestations de service des fournisseurs de cloud.

SOC 2, qui repose sur les Principes et Critères des services de tiers de confiance de l’AICPA, décrit les contrôles spécifiquement associés à la sécurité et au respect de la vie privée. Elle s’impose comme une norme de conformité que de plus en plus d’entreprises utilisent dans le cadre de leurs contrats de service avec des fournisseurs de Cloud.

Pour prouver leur conformité avec la norme SSAE 16 et les Principes et Critère des services de tiers de confiance de l’AICPA, les entreprises doivent présenter des rapports SOC 1 et/ou SOC 2. Précisément, demandez à votre fournisseur Cloud de présenter un rapport « SOC 1, Type II » et/ou un rapport « SOC 2, Type II », qui confirme que les contrôles ont été réalisés (le Type 1 est simplement une description de la manière dont l’entreprise procède à ces contrôles). Accordez une attention particulière à qui a audité le rapport ; les plus grandes entreprises se montrent généralement plus consciencieuses avec ce type d’audit. Il est important de lire le rapport attentivement pour évaluer des éventuels échecs ou exceptions que l’auditeur aurait notés.

ISAE 3402 Type II

C’est la version européenne de SSAE 16 SOC 1, Type II. Les fournisseurs de cloud n’ont pas besoin d’obtenir les deux attestations, mais si c’est le cas, c’est un point positif.

FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) est un « programme du gouvernement américain basé sur la Publication Spéciale 800-53, révision 4, du NIST (National Institute of Standards and Technology) qui fournit une approche standardisée pour l’évaluation de sécurité, l’autorisation et le contrôle continuel des produits et services Cloud ».

Le processus de certification FedRAMP est difficile et plusieurs années peuvent être nécessaires au fournisseur pour obtenir l’agrément (ATO = Authority to Operate). Ainsi, si un fournisseur de services de Cloud est certifié FedRAMP, cela signifie que ses pratiques et contrôles de sécurité sont particulièrement performants.

Pour découvrir quels fournisseurs de Cloud ont obtenu la certification FedRAMP : consultez cette liste sur le site du programme.

CSA CCM

Norme émergeante, CSA CCM (Cloud Security Alliance Cloud Controls Matrix) a « été conçue spécifiquement pour fournir des principes de sécurité fondamentaux et aider les fournisseurs de Cloud et leurs futurs clients à évaluer les risques globaux de sécurité d’un fournisseur de Cloud ». La matrice (accessible ici) est un ensemble de contrôles conçu par la Cloud Security Alliance ; les contrôles sont associés à d’autres normes de sécurité, telles que celles décrites ci-dessus.

Les fournisseurs de services de cloud ne sont pas contraints d’utiliser ces principes. Mais s’ils le font, ou travaillent à leur adoption, cela suggère qu’ils s’engagent fortement en faveur de la sécurité. Demandez à vos fournisseurs de services de Cloud s’ils ont rempli le questionnaire du CSA ou consultez le registre STAR du CSA.

PCI

La norme dédiée à la sécurité des données dans l’industrie des cartes de paiement (PCI DSS) est un ensemble d’exigences conçu pour garantir la sécurité de l’environnement utilisé par les entreprises pour traiter, stocker ou transmettre des informations de cartes de crédit. Afin d’obtenir cette certification, les fournisseurs de Cloud doivent mettre en œuvre et maintenir dans le temps les principes de cette norme. Plus d’informations sur PCI : https://www.pcisecuritystandards.org.

Les exigences de sécurité auxquelles un fournisseur de Cloud doit se conformer pour protéger les données clients dépendent largement du type d’informations qu’on leur demandera de prendre en charge. Plus les données sont sensibles, plus le respect des normes du secteur sera important. L’ensemble des fournisseurs de services de Cloud doit être capable de montrer à leurs clients ce qu’ils font pour garantir la sécurité. 

About Mark Goldin
Comments

En savoir plus?

Nos flux RSS

Blog Cornerstone

Nos solutions intégrées de gestion des talents peuvent vous aider dans de noombreux domaines.
Voir nos solutions

Archives