La conformité du cloud est l’art et la science visant à respecter les normes réglementaires d’utilisation du cloud en accord avec les directives du secteur et les lois locales, nationales et internationales.
Certaines exigences réglementaires communes comprennent les lois Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) et Gramm-Leach-Bliley Act (GLBA).
Conformité du cloud
Lorsqu’une entreprise est dans le cloud, elle doit savoir comment le fournisseur de cloud va l’aider à rester conforme aux lois telles que le RGPD en Europe ou l’HIPAA aux États-Unis. Naturellement, ce sujet ne doit pas être abordé qu’une fois le service cloud établi, mais plutôt au tout début des discussions.
Il arrive cependant que les entreprises se retrouvent parfois dans le cloud plus tôt que prévu, ce qui complique les choses. L’un des principaux critères du cloud est qu’il doit y avoir une interface en libre-service afin que le client puisse facilement configurer, modifier et quitter les services cloud.
On ne sait pas pour autant qui va s’en occuper du côté du client. Eh bien, cela peut être n’importe quel membre de l’entreprise. Un service peut se lancer et placer ses données dans le cloud, s’il possède la carte de crédit de l’entreprise. Le terme qui désigne cette pratique est connu : il s’agit de la Shadow IT. Il est fréquemment utilisé en ce moment en raison du cloud.
Gouvernance du cloud
La gouvernance est la supervision que fournissent à une entreprise la direction générale et le conseil d’administration. La gouvernance du cloud est une extension de cette supervision au cloud. La gouvernance est essentielle. Sans elle, trop de questions restent sans réponse concernant les objectifs d’une entreprise, ce qui rend très difficile la gestion d’un cloud et de sa sécurité. Avant qu’une entreprise ne puisse passer au cloud, elle doit étudier ces objectifs. Ils doivent être régis par les lois, réglementations et contrats qu’elles ont à respecter. Au-delà des aspects juridiques, la gouvernance du cloud met les employés sur la bonne voie pour aider l’entreprise à atteindre ses objectifs. Si le cloud rend les choses plus compliquées, en empêchant les utilisateurs de faire leur travail ou en causant des ennuis juridiques à une entreprise, cela signifie que de graves erreurs ont été commises. Le conseil d’administration et la direction générale de l’entreprise doivent prêter attention au cloud.
Lois et réglementations
La loi est le premier sujet de toute discussion sur la conformité. Les entreprises et leurs avocats doivent déterminer quelles lois doivent être suivies et doivent clairement indiquer les conséquences liées à la non-conformité. Une fois les lois identifiées, voici une question pertinente à se poser : Quels contrôles de sécurité devons-nous avoir en place pour pouvoir respecter les lois et réglementations applicables ?
Les réglementations telles que le RGPD de l’UE requièrent que les informations personnelles bénéficient d’une sécurité importante. Le RGPD de l’UE comporte également des contraintes très spécifiques sur le lieu où les données couvertes par la réglementation peuvent être traitées et stockées.
Cela peut poser problème avec le cloud, au vu du fonctionnement de la technologie ; cependant, il est possible de mettre en place des contrôles avec les principaux fournisseurs cloud pour répondre aux exigences en matière de réglementation.
Contrats
Les contrats définissent un accord formel entre deux parties ou plus. Lorsqu’une entreprise signe un contrat, elle doit en respecter les conditions. Dans le cas contraire, elle pourrait subir de lourdes pénalités financières.
Une organisation qui traite ou stocke des informations de carte de crédit a probablement signé un accord avec des sociétés de carte de crédit, qui requièrent qu’elle mette en place des éléments spécifiques de la norme Payment Card Industry-Data Security Standard (PCI-DSS).
Pour pouvoir traiter des paiement par carte de crédit, une entreprise signe un contrat dans lequel elle promet de respecter les 12 exigences de sécurité de la norme. Le niveau auquel les exigences doivent être mises en œuvre dépend du nombre de transactions traitées par an.
Une entreprise doit également déterminer si l’un des contrats avec ses clients modifie ce qu’elle peut faire ou non avec le cloud. Y a-t-il un impact sur la conformité, si elle utilise un cloud : public, privé, communautaire, etc. ?
Normes
De nombreuses entreprises utilisent des normes telles que ISO 27001 ou NIST SP 800-53 en tant que base pour mettre en œuvre des contrôles de sécurité. Si une entreprise a décidé d’utiliser la norme ISO 27001, elle doit former ses employés afin que les contrôles appropriés soient mis en place. Ces derniers s’étendent au cloud. La norme ISO a isolé les contrôles spécifiques au cloud et les a traités dans la norme ISO 27017.
Audits
Un audit permet d’évaluer le niveau de conformité aux lois, réglementations et contrats. Il existe des audits internes et externes. Un audit interne, effectué par les auditeurs de l’entreprise, fournit une auto-évaluation pour déterminer le niveau de conformité. Cependant, les résultats d’un audit interne peuvent être perçus comme faussés, car les auditeurs peuvent tirer des conclusions biaisées.
Pour obtenir un avis plus objectif, une entreprise peut être auditée par une entreprise tierce indépendante. Les audits que nous voulons évoquer concernant le cloud sont ceux effectués par le fournisseur de cloud.
La plupart des fournisseurs de cloud n’accueillent pas leurs clients dans leurs data centers pour qu’ils effectuent leur propre audit ; nous nous appuyons donc sur des audits tiers indépendants.
Rapports d’audit
Le résultat d’un audit est consigné dans le rapport d’audit. Les rapports sont normalisés par l’American Institute of Certified Public Accountants (AICPA). Toutes les entreprises doivent demander le rapport d’audit SOC 2®. Un rapport SOC 2® est destiné aux organisations de service telles que les fournisseurs de cloud. Il montre par exemple la conformité aux contrôles définis dans la norme ISO 27001 ou dans le NIST Cybersecurity Framework (CSF).
Les contrôles sont évalués selon les cinq critères de services de confiance de l’AICPA, qui sont les suivants :
- Sécurité
- Disponibilité
- Confidentialité
- Intégrité de traitement
- Confidentialité
Ces rapports peuvent être de type 1 ou de type 2.
Un rapport de type 1 montre le statut des contrôles à un moment précis, et montre que les contrôles sont conçus et installés à un certain niveau de pertinence. Un rapport de type 2 montre l’efficacité opérationnelle des contrôles sur une période données, par exemple six mois.
Un client du cloud doit demander ces rapports, mais il est possible que le fournisseur de cloud ne souhaite pas les fournir : ils peuvent contenir des informations potentiellement sensibles sur leur entreprise.
Le SOC 3®, conçu comme un rapport à usage général, est une autre option possible. Il contient très peu d’informations concernant l’activité du fournisseur de cloud ; il donne en revanche l’approbation (ou le refus) de l’auditeur concernant le fournisseur de cloud.
Source : https://www.trendmicro.com/fr_fr/what-is/cloud-security/cloud-compliance.html