Embed Size (px)
Citation preview
1
SECURITE ETCONFORMITEAWSGUIDE DEREFERENCERAPIDE
2017
2
Présentation
Programmes
Secteurs d'activités
Partage de la responsabilité
AWS - Conformité du cloud
Client - Conformité dans le cloud
Votre contenu
Emplacement de stockage de votre contenu
Continuité des activités
Sécurité
Ressources
Partenaires et Marketplace
Formation
19
21
13
9
7
3
1
4
PRESENTATION
1
PRESENTATION
Lorsque vous migrez vos charges de travail soumises à réglementation vers le cloud, vous avez accès aux nombreuses fonctions de gouvernance que nous proposons. Ces fonctions vous permettent d'atteindre un niveau de sécurité plus élevé et approprié à vos besoins. Avec la gouvernance basée sur le cloud, vous profitez de frais d'entrée réduits, d'un fonctionnement plus simple et d'une meilleure agilité grâce à une vision, des contrôles de sécurité et une automatisation centrale accrus. La migration vers le cloud signifie que vous pouvez tirer parti d'AWS pour réduire le nombre de contrôles de sécurité à gérer.
Pour être conforme, un environnement doit être correctement sécurisé. Nous offrons un ensemble fiable de contrôles d'infrastructure qui ont été validés par de nombreuses attestations et certifications. Chaque certification atteste qu'un auditeur a vérifié que les contrôles de sécurité spécifiques sont en place et qu'ils fonctionnent comme prévu. Pour en savoir plus sur l'ensemble des attestations et certifications que nous prenons en charge, consultez la page relative aux programmes AWS de conformité.
Nous offrons également un large éventail de services et d'outils afin de répondre aux exigences de conformité dans le cloud, notamment Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config et AWS Config Rules.
2
PROGRAMMES
3
PROGRAMMES
Figure 1 : Programmes de conformité
Remarque : Nous ajoutons régulièrement des programmes. Pour consulter la liste actualisée des programmes AWS de conformité, rendez-vous sur le site web.
Les Certifications / Attestations sont réalisées par un auditeur tiers indépendant. Nos certifications, rapports d'audit ou attestations de conformité reflètent les résultats des audits.
Les informations relatives aux Lois / Réglementations / Confidentialité et les Adéquations / Dispositifs sont spécifiques aux secteurs ou fonctions. Pour vous aider, nous vous fournissons des fonctionnalités (par exemple des fonctions de sécurité) et des supports (notamment des recueils de
Nos environnements sont continuellement audités. Notre infrastructure et nos services sont homologués pour fonctionner dans le cadre de différentes normes de conformité et certifications sectorielles, dans différentes régions géographiques et différents secteurs. Ces certifications permettent de valider l'implémentation et l'efficacité de vos contrôles de sécurité.
4
PROGRAMMES
conformité, des documents de mappage et des livres blancs). Soit la certification « directe » formelle de ces lois, réglementations et programmes 1) est non disponible pour les fournisseurs de cloud, soit elle 2) représente un sous-ensemble d'exigences déjà mises en œuvre par nos programmes de certification/attestation formels.
Découvrez quelques programmes parmi les plus populaires :
PCI DSS – La norme Payment Card Industry (PCI) Data Security Standards (DSS) est une norme de sécurité stricte visant à prévenir la fraude et à protéger les données des titulaires de cartes de paiement. Elle s'applique aux commerçants acceptant les paiements par carte bancaire.
ISO 27001 – ISO 27001 est une norme de sécurité internationale largement adoptée qui expose les exigences relatives aux systèmes de gestion de la sécurité des informations. Elle offre une approche systématique de la gestion des informations liées à la société et aux clients, basée sur des évaluations régulières des risques.
SOC – Les rapports AWS Service Organization Control (SOC) sont des comptes rendus des audits indépendants réalisés par des tiers. Ils indiquent comment AWS met en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces rapports sont destinés à vous aider, ainsi que vos auditeurs, à comprendre les mesures de contrôle mises en place par AWS pour appuyer le fonctionnement et la conformité. Les types de rapports AWS SOC sont au nombre de quatre : rapport AWS SOC 1, AWS SOC 2 : rapport de sécurité et de disponibilité, AWS SOC 2 : rapport de confidentialité et AWS SOC 3 : rapport de sécurité et de disponibilité.
FedRAMP – Programme gouvernemental américain qui élabore des normes en matière d'évaluation, d'autorisations et de surveillance continue. FedRAMP suit les normes de contrôle de sécurité NIST 800-53.
5
PROGRAMMES
DoD Cloud Security Model (CSM) – Normes pour le cloud computing établies par l'agence des systèmes d'information de la Défense américaine (DISA, Defense Information Systems Agency) documentées dans le guide Security Requirements Guide (SRG) du département de la Défense (DoD) américain. Ces normes proposent un processus d'autorisation pour les propriétaires de charges de travail DoD ayant des besoins uniques en termes d'architecture en fonction de leur niveau d'impact.
HIPAA – La loi américaine Health Insurance Portability and Accountability Act (HIPAA) contient des normes de sécurité et de conformité strictes destinées aux entreprises assurant le traitement ou le stockage de données de santé protégées (PHI).
Pour obtenir les descriptions complètes de chaque programme que nous prenons en charge, consultez la page web relative aux programmes AWS de conformité.
AWS Artifact
Le portail AWS Artifact offre un accès à la demande à nos documents de sécurité et de conformité, également appelés artefacts d'audit. Ceux-ci vous permettent d'attester de la sécurité et de la conformité de votre infrastructure et de vos services AWS auprès des auditeurs et organismes de réglementation.
Parmi les exemples d'artefacts d'audit, citons les rapports SOC (Service Organization Control), les rapports PCI (Payment Card Industry) et les certifications émanant d'organismes d'accréditation dans des régions géographiques et des secteurs différents, qui valident l'implémentation et l'efficacité opérationnelles des contrôles de sécurité AWS.
Vous pouvez accéder au portail AWS Artifact directement à partir d'AWS Management Console.
6
SECTEURS D'ACTIVITES
7
SECTEURS D'ACTIVITES
• Agriculture et exploitation minière
• Analyses et Big Data
• Informatique et électronique
• E-commerce
• Enseignement
• Energie et services collectifs
• Services financiers
• Industrie alimentaire
• Jeux
• Administration
• Santé et sciences de la vie
• Assurance
• Fabrication
• Médias et divertissement
• Organisations à but non lucratif
• Immobilier et bâtiment
• Commerce de détail, commerce de gros et distribution
• Edition de logiciels et Internet
• Télécommunications
• Transport et logistique
• Voyage et hôtellerie
Les clients des secteurs suivants utilisent AWS pour répondre à leurs besoins de conformité réglementaire :
88
PARTAGE DE LA RESPONSABILITE
9
PARTAGE DE LA RESPONSABILITE
Lorsque vous transférez votre infrastructure informatique vers AWS, vous adoptez le modèle de responsabilité partagée illustré à la Figure 2. Puisque nous exploitons, gérons et contrôlons les composants informatiques depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services sont exploités, ce modèle partagé atténue votre charge opérationnelle.
Figure 2 : Modèle de responsabilité partagée
Le modèle de responsabilité partagée s'étend également aux contrôles des actifs informatiques. Comme expliqué précédemment, nous partageons ensemble la responsabilité de l'exploitation de l'environnement informatique. Nous partageons également la gestion, l'utilisation et la vérification des contrôles informatiques. Nous allégeons l'exécution des contrôles qui vous incombent en gérant ceux associés à l'infrastructure physique déployée au sein de l'environnement AWS. Vous pouvez vous appuyer sur la documentation AWS relative aux contrôles et à la conformité afin d'exécuter vos propres procédures de vérification et d'évaluation des contrôles, conformément à la norme de conformité en vigueur.
CLI
ENT
AWS
DONNEES CLIENT
PLATEFORME, APPLICATIONS, GESTION DES IDENTITES ET DES ACCES
CONFIGURATION DU SYSTEME D'EXPLOITATION, DU RESEAU ET DU PARE-FEU
CALCUL STOCKAGE BASE DE DONNEES MISE EN RESEAU
EMPLACEMENTS PERIPHERIQUES
REGIONS
ZONES DE DISPONIBILITÉ
RESPONSABLE DE LA SECURITE LE CLOUD« DANS »
RESPONSABLE DE LA SECURITE CLOUD« DU »
CHIFFREMENT DES DONNEES ETAUTHENTIFICATION DE L'INTEGRITE DES DONNEES COTE CLIENT
CHIFFREMENT COTE SERVEUR (SYSTEME DE FICHIERS ET/OU DONNEES)
PROTECTION TRAFIC RESEAU (CHIFFREMENT/INTEGRITE/IDENTITE)
INFRASTRUCTURE GLOBALE AWS
10
AWS - CONFORMITE DU CLOUD
Nous vous aidons à préserver un environnement sécurisé et prêt pour la conformité. De manière générale, nous nous engageons à :
Valider que nos services et dispositifs répandus à travers le monde assurent la continuité d'un environnement de contrôle efficace. Notre environnement de contrôle repose sur des politiques, des procédures et des opérations de contrôle exploitant différents aspects de l'environnement de contrôle global d'Amazon.
L'environnement de contrôle global regroupe les personnes, les procédures et les technologies nécessaires pour établir et gérer un environnement garantissant le fonctionnement efficace de notre infrastructure de contrôle. Nous avons intégré à notre infrastructure les contrôles spécifiques au cloud identifiés par les acteurs majeurs dans le domaine du cloud computing. Nous nous tenons informés des recommandations émanant de ces organismes afin de connaître les pratiques d'excellence pouvant être implémentées et de vous aider à gérer votre environnement de contrôle.
Prouver notre engagement en matière de conformité, afin de garantir votre conformité aux exigences de votre secteur d'activités et de l'administration. Nous collaborons avec divers organismes de certification externes et auditeurs indépendants en vue de vous fournir des informations conséquentes relatives aux politiques, procédures et contrôles que nous établissons et que nous gérons.
Garantir que, grâce aux milliers d'exigences que nous respectons en termes de contrôles de sécurité, nous garantissons la conformité avec les normes et bonnes pratiques internationales.
11
CLIENT - CONFORMITE DANS LE CLOUD
Tout comme dans un centre de données classique, vous êtes responsable de la gestion du système d'exploitation « invité » (y compris des mises à jour et des correctifs de sécurité), des autres logiciels d'application connexes, de même que de la configuration du pare-feu du groupe de sécurité fourni par AWS. Vous devez choisir avec soin les services que vous utilisez. En effet, vos responsabilités varient selon ces services, leur intégration dans votre environnement informatique et les lois et réglementations en vigueur.
Afin d'assurer une gestion sécurisée de vos ressources AWS, vous devez connaître les ressources que vous utilisez (inventaire des ressources), sécuriser la configuration des applications et des systèmes d'exploitation invités sur vos ressources (paramètres de configuration sécurisés, correctifs et logiciels anti-programme malveillant) et contrôler les modifications des ressources (gestion des modifications).
Vous pouvez utiliser les informations que nous fournissons concernant notre programme de gestion des risques et de la conformité afin de les intégrer à votre cadre de gouvernance.
12
VOTRE CONTENU
13
VOTRE CONTENU
Dans la conception que nous proposons, nous vous accordons la propriété et le contrôle de votre contenu. Grâce à des outils simples et puissants, vous pouvez déterminer l'endroit où votre contenu sera stocké, sécuriser votre contenu en transit ou au repos, et gérer l'accès de vos utilisateurs aux services et ressources AWS.
Remarque : Lorsque nous devons accéder à votre contenu, ou l'utiliser, le but est toujours de vous fournir, ainsi qu'à vos clients, les services AWS sélectionnés. Nous n'utilisons jamais votre contenu pour nos propres besoins, ni à des fins marketing ou publicitaires.
Accès – Grâce à nos fonctions avancées d'accès, de chiffrement et de journalisation (par exemple, AWS CloudTrail), vous pouvez gérer l'accès à votre contenu et à vos services et ressources AWS. Lorsque nous devons accéder à votre contenu, ou l'utiliser, c'est toujours dans le cadre d'une obligation légale, ou dans le but de procéder à la maintenance des services AWS et à leur prestation, à vous et à vos utilisateurs finaux.
Stockage – Vous choisissez la ou les régions dans lesquelles vous souhaitez stocker votre contenu. Nous ne procédons pas au déplacement ni à la réplication de vos contenus en dehors de la ou des régions choisies, sauf en cas d'obligation légale ou dans le but de procéder à la maintenance des services AWS et à leur prestation, à vous et à vos utilisateurs finaux. Par exemple, si vous êtes un client européen, vous pouvez choisir de déployer vos services AWS exclusivement dans la région UE (Allemagne).
14
VOTRE CONTENU
Sécurité – Vous choisissez la façon de sécuriser votre contenu. Nous vous proposons le chiffrement avancé de votre contenu en transit ou au repos, ainsi qu'une option de gestion de vos propres clés de chiffrement.
Divulgation de votre contenu – Nous ne divulguons pas votre contenu, sauf en cas d'obligation légale ou pour respecter un ordre juridique valide et exécutoire émanant d'une instance gouvernementale ou de régulation. Au cas où nous serions obligés de divulguer votre contenu, nous vous avertirons au préalable. Vous pourrez ainsi prendre les mesures nécessaires.
Important : En cas d'interdiction de vous avertir ou d'indication claire d'illégalité en lien avec l'utilisation des produits et services d'Amazon, nous ne vous informerons pas préalablement à la divulgation de votre contenu.
Assurance de sécurité – Afin de vous aider à mettre en place, utiliser et exploiter pleinement notre environnement de contrôle de la sécurité, nous avons élaboré un programme d'assurance de sécurité s'appuyant sur les bonnes pratiques globales concernant la confidentialité et la protection des données. Ces mécanismes de protection de la sécurité et procédures de contrôle sont validés par plusieurs évaluations indépendantes.
Remarque : Afin de garantir que nous gérons la sécurité du cloud avec des contrôles techniques et physiques destinés à empêcher un accès non autorisé au contenu du client ou sa divulgation, un auditeur indépendant a certifié que nos procédures respectent les normes du secteur.
15
EMPLACEMENT DE STOCKAGE DE VOTRE CONTENU
Les centres de données AWS sont conçus en clusters dans différents pays à travers le monde. Nous appelons « région » chacun de ces clusters de centres de données dans un pays donné. Vous avez accès à de nombreuses régions AWS à travers le monde, et vous pouvez choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions.
Figure 3 : Régions
Vous gardez le contrôle total et l'entière propriété dans la région dans laquelle vos données sont physiquement situées. Il est donc facile de répondre aux exigences régionales de conformité et de résidence des données. Vous pouvez choisir la ou les régions AWS dans lesquelles vous souhaitez stocker votre contenu, ce qui est utile si vous avez des besoins géographiques spécifiques. Par exemple, si vous êtes un client européen, vous pouvez choisir de déployer vos services AWS exclusivement dans la région UE (Allemagne). Dans ce cas, votre contenu sera stocké en Allemagne, sauf si vous sélectionnez une autre région AWS.
16
CONTINUITE DES ACTIVITES
Notre infrastructure haute disponibilité fournit les fonctions qui permettent de déployer une architecture informatique résiliente. Nos systèmes sont conçus de manière à tolérer des défaillances du système ou du matériel avec un faible impact sur le client.
La résilience a pour objectif de réduire le risque d'indisponibilité des ressources.
La récupération a pour objectif de réduire l'impact en cas d'indisponibilité des ressources.
La sauvegarde est une stratégie de gestion de la perte de données, qu'elle soit accidentelle ou intentionnelle.
La reprise après sinistre est le processus qui consiste à se préparer aux éventuels sinistres et à rétablir les systèmes après un sinistre. Tout événement ayant un impact négatif sur la continuité de vos activités ou sur vos finances peut être considéré comme un sinistre. Le cloud AWS prend en charge de nombreuses architectures de reprise après sinistre, allant des environnements « de veille » pouvant évoluer immédiatement, aux environnements « de secours » qui permettent un basculement rapide.
Pour en savoir plus sur les procédures de reprise après sinistre sur AWS, consultez la page https://aws.amazon.com/disaster-recovery/.
Nos centres de données sont conçus sous forme de clusters dans différentes régions du monde. Tous les centres de données sont en ligne et disponibles pour les clients ; aucun n'est inactif. En cas de défaillance, le trafic des données client est automatiquement réacheminé.
17
CONTINUITE DES ACTIVITES
Nous vous offrons la flexibilité de placer des instances et de stocker des données dans plusieurs régions géographiques, ainsi que dans plusieurs zones de disponibilité au sein de chaque région. En répartissant les applications entre plusieurs zones de disponibilité, vous pouvez vous prémunir contre la plupart des types de défaillance, notamment les catastrophes naturelles et les défaillances système.
Vous pouvez créer des systèmes hautement résilients dans le cloud en exploitant plusieurs instances dans plusieurs zones de disponibilité et en utilisant la réplication de données pour atteindre des objectifs de temps de récupération et de point de récupération très élevés.
Vous êtes responsable de la gestion et du test de la sauvegarde et de la restauration de votre système d'information créé sur l'infrastructure AWS. Vous pouvez utiliser l'infrastructure AWS pour assurer une reprise après sinistre plus rapide de vos principaux systèmes informatiques sans engager de dépense pour l'infrastructure d'un deuxième site physique. Le cloud AWS prend en charge de nombreuses architectures de reprise après sinistre, allant des environnements « de veille » pouvant évoluer immédiatement, aux environnements « de secours » qui permettent un basculement rapide.
18
SECURITE
19
SECURITE
Pour AWS, la sécurité dans le cloud est la priorité numéro 1. Le Centre de sécurité AWS propose des informations sur la sécurité et la conformité concernant AWS.
Nous exploitons l'infrastructure de cloud globale que vous utilisez pour mettre en service diverses ressources informatiques de base, telles que le traitement et le stockage. L'infrastructure globale AWS englobe les installations, le réseau, le matériel et les logiciels opérationnels (par exemple, un système d'exploitation invité, un logiciel de virtualisation, etc.) qui permettent la mise en service et l'utilisation de ces ressources. L'infrastructure globale AWS est conçue et gérée conformément aux bonnes pratiques de sécurité ainsi qu'à plusieurs normes de sécurité. En tant que client AWS, vous avez la garantie de créer des architectures web reposant sur l'une des infrastructures informatiques les plus sécurisées au monde.
20
RESSOURCES
21
RESSOURCES
Vous pouvez accéder à toutes les pages web et à tous les livres blancs référencés dans ce document sur le hub de ressources de référence rapide sur la sécurité et la conformité AWS à l'adresse https://aws.amazon.com/compliance/reference/.
PARTENAIRES ET MARKETPLACE
FORMATION
Le réseau de partenaires AWS (APN) est le programme de partenariat mondial proposé par AWS. Il aide les partenaires APN à développer une activité ou des solutions florissantes basées sur AWS. Dans cette optique, il apporte un soutien sur les aspects techniques, métier, marketing et de mise sur le marché. Pour plus d'informations, consultez la page https://aws.amazon.com/partners/.
AWS Marketplace est un canal de vente qui aide les vendeurs de solutions AWS à offrir des solutions logicielles s'exécutant dans le cloud AWS. Pour plus d'informations, consultez la page https://aws.amazon.com/marketplace/.
Que vous démarriez, que vous exploitiez des compétences informatiques existantes ou que vous affiniez vos connaissances du cloud, la formation AWS peut vous aider, ainsi que votre équipe, à être plus efficace lorsque vous utilisez le cloud. Pour plus d'informations, consultez la page https://aws.amazon.com/training/.
22
![[Gestion des risques et conformite] solvabilite 2](https://img.pdfslide.fr/doc/110x75/549727b1b479593d698b46e0/gestion-des-risques-et-conformite-solvabilite-2.jpg)
