Sommaire

I. Définition du Cloud computing

II. Limites du Cloud en matière de contrôles de sécurité propriétaires

III. Nouvelles exigences pour la sécurité dans le Cloud

IV. Initiatives de l’industrie pour la sécurité dans le Cloud

V. Listes de contrôle pour la sécurité et les audits dans le Cloud VI. À propos de Qualys

2

3

4

6

6

7

S T R A T É G I E S D E G O U V E R N A N C E

Nouvelles exigences pour la sécurité, la conformité et l’audit dans le Cloud

Le Cloud computing, ou informatique dans les nuages, pose de nouveaux défis aux professionnels de la

sécurité, de la conformité et de l’audit des systèmes d’information qui sont chargés de protéger les données

de l’entreprise ainsi que les ressources informatiques tout en s’assurant de la conformité des mesures de

sécurité. Le Cloud bouleverse la prédictabilité associée aux architectures informatiques, aux contrôles de

sécurité et aux procédures d’audit traditionnels et oblige les abonnés aux services Cloud à déléguer deux

ressources essentielles aux fournisseurs de services Cloud : (1) Le contrôle des données, des applications et

des actions et (2) la visibilité du statut des données et de l’utilisation des applications.

Le présent document explique comment le monde de la sécurité, de l’audit et de la conformité des systèmes

d’information doit évoluer dans les environnements Cloud. Commençant par une définition de l’informatique

dans les nuages et de ses divers modèles, ce document explique comment le Cloud computing fait évoluer

les hypothèses de travail en matière de sécurité. Il propose également des recommandations aux auditeurs

chargés de vérifier l’efficacité des mesures de sécurité mises en oeuvre au sein des services Cloud.

2

Présentation du Cloud computing Il est important de définir avec précision le Cloud computing, ou informatique dans les nuages. En effet, ce terme est très utilisé par le grand public en dépit de définitions sensiblement différentes qu’en donnent les professionnels de l’informatique. Aussi bien l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) que l’agence gouvernementale américaine pour la promotion et le développement de standards technologiques (NIST) donnent des définitions largement semblables de l’informatique dans les nuages. Selon l’agence NIST :

Le Cloud computing est un modèle qui offre un accès au réseau à la fois pratique et à la demande à un ensemble partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications, services…) qui peut être rapidement provisionné et diffusé moyennant un effort d’administration minime ou une interaction des fournisseurs de services minimale.1

La définition de l’agence NIST identifie également cinq caractéristiques essentielles du Cloud computing : un libre-service à la demande qui permet au consommateur de services Cloud de dimensionner des services sans exiger l’intervention humaine d’un fournisseur de services ; un large accès au réseau via tout un éventail de mécanismes et d’équipements standards ; le regroupement de ressources pour que les fournisseurs puissent servir simultanément de nombreux utilisateurs n’ayant eux-mêmes aucune maîtrise ou connaissance des différentes technologies et ressources qui sont au cœur du fonctionnement du Cloud ; une grande souplesse qui permet à l’utilisateur de fournir rapidement des niveaux supplémentaires de services en fonction des besoins ; et des services sur mesure pour superviser, contrôler et générer des rapports sur l’utilisation.

En outre, les utilisateurs de ressources Cloud peuvent choisir parmi trois types de services Cloud définis comme suit par l’agence NIST :

• Des logiciels fournis sous la forme de services (SaaS) via le Cloud qui permettent d’utiliser les applications opérées sur l’infrastructure du fournisseur. Par exemple, les offres de sécurité et de conformité de Qualys sont fournies en mode SaaS.

• Une plate-forme fournie sous la forme de services (PaaS) via le Cloud qui permet au consommateur de déployer des applications qu’il crée ou achète sur l’infrastructure Cloud à l’aide des outils et langages de programmation du fournisseur. Avec l’offre PaaS, le consommateur contrôle l’application mais pas l’infrastructure sous-jacente. Windows Azure de Microsoft Corporation est un bon exemple.

• Une infrastructure fournie sous la forme de services (IaaS) via le Cloud qui permet d’exécuter des systèmes d’exploitation et des applications sur l’infrastructure Cloud du fournisseur. L’IaaS revient à louer un espace informatique détenu et exploité par un fournisseur dans le Cloud. Amazon Elastic Compute Cloud (EC2) est un bon exemple.

En outre, l’agence européenne ENISA signale que les services informatiques dans le Cloud sont disponibles dans trois modèles de déploiement principaux2 . Un Cloud privé qui fonctionne selon les principes du Cloud computing mais qui est uniquement accessible au sein d’un réseau privé. Un Cloud de partenaires, parfois également appelé un Cloud communautaire, est composé de services Cloud offerts par un fournisseur à un nombre de parties limité et bien défini. Un Cloud public est disponible pour n’importe quel individu ou toute entreprise qui souhaite louer ses services (les services de Qualys sont fournis via un Cloud public). De surcroît, l’agence NIST identifie un quatrième modèle : le Cloud hybride qui est une quelconque combinaison de ce qui précède et qui se compose de deux Clouds voire plus connectés pour assurer la portabilité des données et des applications.

1 « The NIST Definition of Cloud Computing (Draft), » NIST Special Publication 800-145, p. 2 (Janvier 2011); http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf.2 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport

3

Limites du Cloud en matière de contrôles de sécurité propriétaires

Même s’il existe de nombreux types de Clouds, tous ont une caractéristique commune : les abonnés doivent déléguer le contrôle et la visibilité à des fournisseurs de services Cloud. L’agence américaine NIST développe cette notion : 3

• Le contrôle : la capacité de décider, en toute confi ance, qui et quoi est autorisé à accéder aux données et aux applications des abonnés et la possibilité d’exécuter des actions (notamment eff acer des données ou déconnecter un réseau) en ayant la garantie que ces deux actions ont été réalisées et qu’aucune autre action n’a été entreprise pour contrarier les intérêts des abonnés (par exemple la demande d’un abonné portant sur la suppression d’un objet de données ne doit pas être entravée par la génération silencieuse d’une copie).

• La visibilité : la capacité à maîtriser, en toute confi ance, l’état des données et des applications d’un abonné ainsi que les accès par des tiers.

Les professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information admettront que le contrôle et la visibilité sont des facteurs vitaux pour les mécanismes de sécurité traditionnels utilisés pour protéger les données et les applications ainsi que pour vérifi er l’effi cacité de ces mesures en matière de conformité. Dans le cadre d’un modèle informatique orienté vers un centre de données propriétaire, le contrôle et la visibilité n’étaient jamais remis en cause. La sécurité se concentrait sur un périmètre bien défi ni si bien que les mesures majeures étaient destinées à protéger les centres de données contre des attaques externes. La réglementation sur la conformité, notamment les lois Gramm-Leach-Bliley Act et Health Insurance Portability and Accountability Act promulguées aux États-Unis ainsi que les lois nationales dans les pays européens découlant de la Directive européenne sur la protection des données à caractère personnel, ont également augmenté le niveau d’exigences en matière de sécurité et de conformité. Ces nouvelles exigences ont engendré l’apparition d’outils de gestion de la gouvernance, des risques et de la conformité (GRC) pour des activités telles que l’évaluation des risques et la gestion des confi gurations et des vulnérabilités.

Les questions liées au contrôle et à la visibilité aff ectent la responsabilité de l’exécution de la sécurité, de l’audit et de la conformité. Par exemple, à des fi ns de conformité à la norme PCI DSS (Payment Card Industry Data Security Standard), la norme déployée à l’échelle mondiale pour le traitement sécurisé des cartes de crédit, le PCI Security Standards Council recommande aux entités de tenir compte des évolutions de la responsabilité en fonction du type d’off re de services Cloud (voir l’illustration du Conseil) : 4

3 DRAFT Cloud Computing Synopsis and Recommendations, » NIST Special Publication 800-146, p. 4-3 (Mai 2011) ; http://csrc.nist.gov/publications/drafts/800-146/Draft-NIST-SP800-146.pdf.4 PCI Security Standards Council, « Information Supplement: PCI DSS Virtualization Guidelines,” p. 23 (Juin 2011), https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf.5 http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Securing-Mobile-Devices.aspx

Auditer la sécurité des équipements mobilesLes équipements mobiles présentent de nouveaux risques dans la mesure où des données sensibles situées dans le Cloud peuvent être consultées à distance ou sont stockées sur des points d’extrémité mobiles. Voici quelques recommandations clés formulées par l’organisme de formation et de certification à la sécurité ISACA 5:

• Vérifiez que n’importe quelle donnée étiquetée comme sensible est correctement sécurisée lors de son transit ou au repos.

• Vérifiez si les utilisateurs d’équipements nomades se connectent au réseau de l’entreprise via une connexion sécurisée.

• Vérifiez si un processus de gestion des actifs a été déployé pour suivre les équipements mobiles.

• Vérifiez si la synchronisation des données des équipements mobiles n’est pas configurée pour accéder à des fichiers partagés ou à des unités réseau contenant des données interdites d’utilisation mobile.

4

Étant donné la nature du partage des responsabilités dans les environnements Cloud, il est important que les fournisseurs de services facilitent l’extension des outils d’audit et de conformité vers des zones qu’ils administrent directement. Les entreprises ont besoin de cette collaboration dans la mesure où la réglementation en matière de sécurité et des lois plus récentes étendent le parapluie de la conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud. Il s’agit d’une conséquence de la dissémination des données liée à la sous-traitance, à la délocalisation et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme.

Les équipements mobiles posent de nouveaux problèmes d’audit

Hier, les professionnels de la sécurité et de l’audit pouvaient supposer que les données restaient toujours cloisonnées au périmètre protégé. Aujourd’hui, il y a fort à parier que ces données peuvent théoriquement se trouver n’importe où en dehors du périmètre traditionnel, en particulier avec l’adoption de l’informatique dans les nuages. Les traditionnels outils de supervision et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud. Qui plus est, des données sensibles sont également stockées sur des smartphones, des tablettes PC et d’autres équipements mobiles. De même, les outils de sécurité et d’audit ne s’étendent pas systématiquement aux équipements mobiles. En eff et, la plupart de ces équipements ne s’appuient pas sur les systèmes d’exploitation traditionnels tels que Windows. Ils ne sont donc pas en mesure d’exécuter les agents logiciels traditionnels que vous souhaiteriez voir lancer. Pour toutes ces raisons, il est important d’identifi er de nouvelles exigences pour sécuriser les données dans le Cloud ainsi que votre capacité à vérifi er sa sécurité à des fi ns de conformité.

Nouvelles exigences pour la sécurité dans le CloudEn raison de la nature même du Cloud computing, votre entreprise ne peut disposer du même niveau de contrôle direct qu’elle a habituellement sur la sécurité des données et la vérifi cation de sa fi abilité. Cependant, cette restriction n’empêche pas l’adoption organisationnelle du Cloud computing. Aussi, dans un monde de politique réaliste, les professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information doivent rechercher des solutions indirectes pour obtenir des résultats similaires à ce qu’ils attendent des environnements de centre de données traditionnels.

Nombreuses sont les entreprises qui s’appuient sur un ou plusieurs référentiels de politique pour structurer et hiérarchiser le choix, le déploiement et la gestion d’une myriade de mesures de sécurité. Dans le présent document, nous utilisons la série de normes ISO27000 qui a été largement adoptée par des entreprises des secteurs public et privé en Europe. Pour les entreprises qui doivent également se conformer à la norme NIST d’origine américaine, une annexe à la publication spéciale NIST Special Publication 800-53 intitulée : Recommended Controls for Federal Information Systems and Organizations off re une correspondance entre les deux normes. 6

La norme ISO27002 divise les contrôles de sécurité en onze catégories majeures qui correspondent aux principales sections d’un plan de sécurité typique pour une entreprise. Pour les environnements Cloud, les contrôles Cloud sont de la responsabilités des fournisseurs externes.

Environnements propriétaires Environnements Cloud

A.5 Politique de sécurité

• Les politiques se concentrent sur les processus aff ectant les systèmes internes détenus et exploités par une entreprise.

• Les politiques se concentrent sur les processus aff ectant les systèmes externes détenus et exploités actionnés par un fournisseur.

A.6 Organisation de la sécurité de l’information

• Procédures administrées en interne pour l’évaluation des risques et la gestion des vulnérabilités.

• Le fournisseur doit confi rmer la mise en œuvre eff ective des procédures appropriées d’évaluation des risques et de gestion des vulnérabilités.

• L’entreprise fi nalise les accréditations et les évaluations de sécurité appropriées.

• Le fournisseur doit confi rmer l’exécution des accréditations et évaluations de sécurité appropriées.

La sécurité du Cloud dépendante de la sécurité du navigateur WebLes navigateurs sont sur la ligne de front du Cloud. S’ils ne sont pas fiables, le Cloud est en danger. Suivez la procédure suivante pour garantir la sécurité de navigateur :

• Mettez à jour les correctifs du navigateur. Actualisez les correctifs de sécurité du navigateur. Il ressort d’une étude réalisée par Qualys qu’environ 70% des navigateurs Web installés sont vulnérables. Parmi ceux-ci, 20% des vulnérabilités se trouvent dans le code ou dans la configuration du navigateur.

• Mettez les plug-ins à jour. Les plug-ins du navigateur représentent 80% des vulnérabilités. Parmi ces dernières, la plupart se trouvent dans des applications populaires telles qu’Adobe Acrobat Reader, QuickTime et plus particulièrement Java.

• Analysez régulièrement les navigateurs Web. L’analyse des vulnérabilités au sein du navigateur Web et des plug-ins est essentielle pour la sécurité et l’audit. Répétez l’opération après les corrections effectuées pour garantir la conformité.

6 Voir http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-fi nal_updated-errata_05-01-2010.pdf.

5

A.7 Gestion des actifs

• L’entreprise doit fournir et maintenir l’ensemble de l’infrastructure physique et numérique. L’accent est mis sur les systèmes internes détenus et exploités par une entreprise.

• Le fournisseur doit fournir et mettre à jour l’infrastructure physique et numérique. L’accent est mis sur les systèmes externes détenus et exploités par un fournisseur.

A8. Sécurité des ressources humaines

• L’accent est mis sur les employés et les sous-traitants travaillant directement pour une entreprise.

• L’accent est mis sur les employés et les sous-traitants travaillant directement pour un fournisseur.

• Vérification RH du passé professionnel du personnel embauché par une entreprise.

• Le fournisseur doit confirmer l’exécution d’un filtrage efficace du personnel. Ceci comprend l’application de normes de filtrage sur tous les sites internationaux.

A9. Sécurité physique et environnementale

• L’entreprise doit garantir la sécurité physique, notamment les contrôles d’entrée physique ainsi que la localisation appropriée des équipements et des services et l’élimination sécurisée des équipements.

• Le fournisseur doit confirmer l’exécution de contrôles efficaces pour la sécurité physique et environnementale de tous ses sites.

A10. Gestion des communications et des opérations

• Les opérations sont sous la seule responsabilité de l’entreprise. • Si un fournisseur fait faillite, il doit donner la garantie que l’abonné pourra prendre le contrôle de ses applications et données avant que l’infrastructure du fournisseur ne soit hors service. Le fournisseur doit donner l’assurance que les applications et les données de l’abonné ne deviendront pas la propriété des créanciers du fournisseur en cas de faillite de ce dernier.

• L’entreprise est responsable de l’intégrité des systèmes et de l’information.

• Le fournisseur doit confirmer les contrôles d’intégrité des systèmes et de l’information.

A11. Contrôle d’accès

• L’identification et l’authentification sont gérées en interne. • Dans l’idéal, le système d’identification et d’authentification interne de l’abonné fonctionnera avec les systèmes du fournisseur Cloud.

• Les contrôles d’accès sont gérés en interne. • Le fournisseur doit confirmer le strict cloisonnement entre obligations et possibilité d’accès de ses employés et sous-traitants pour prévenir tout accès non autorisé aux données de l’abonné.

A12. Acquisition, développement et maintenance de systèmes d’information

• La gestion de la configuration des équipements nouveaux et existants est contrôlée par l’entreprise.

• Le fournisseur doit confirmer une gestion efficace de la configuration.

• Les contrôles des systèmes et des communications sont gérés en interne.

• Le fournisseur doit confirmer le déploiement de contrôles appropriés pour protéger les systèmes et les communications. Ceci comprend les failles pouvant provenir de colocataires sur l’infrastructure Cloud ainsi que de facteurs externes. Le fournisseur doit s’assurer que le service de l’abonné n’est pas interrompu suite à des attaques par déni de service visant des colocataires.

A13. Gestion des incidents de sécurité de l’information

• Les contrôles visant à identifier, détecter, rapporter et corriger les incidents sont gérés en interne.

• Le fournisseur doit confirmer le déploiement de contrôles appropriés pour identifier et rapporter les incidents et les remédier. Il doit aussi fournir aux abonnés des rapports sur l’ensemble des incidents qui seront auditables de manière indépendante.

A14. Gestion de la continuité de l’activité

• L’entreprise doit fournir des moyens de sauvegarde et de reprise après incident.

• Le fournisseur doit confirmer la disponibilité de moyens de sauvegarde et de reprise après incident, que ce soit pour l’infrastructure physique ou autre.

A15. Conformité

• L’entreprise est responsable de la conformité à la réglementation, que ce soit pour la protection des données dans des états spécifiques ou pour la confidentialité des données dans des pays particuliers. Elle seule sert d’interface avec les agences de réglementation appropriées.

• Le fournisseur doit fournir la garantie de conformité à l’abonné. Le fournisseur doit également assurer à l’abonné que son service ne s’interrompra pas dans le cas d’injonction de cessation d’activité et de désistement d’action ou de toute autre injonction affectant le service d’un colocataire. Les données de l’abonné ne doivent pas être consultées en cas de perquisition des données d’un colocataire.

• L’audit et les contrôles de responsabilité financière sont gérés en interne ou par des auditeurs indépendants.

• Le fournisseur doit fournir à l’abonné une preuve auditable de manière indépendante que tous les processus et accords SLA sont exécutés conformément aux termes du contrat.

6

Initiatives de l’industrie pour la sécurité dans le Cloud

L’industrie informatique développe des solutions standard pour l’informatique dans les nuages. Une initiative d’envergure est menée par l’Alliance CSA (Cloud Security Alliance), un consortium regroupant plus de cent fournisseurs et prestataires de solutions opérant sur les cinq continents et œuvrant à la promotion de l’utilisation des meilleures pratiques pour garantir la sécurité dans le Cloud (voir https://cloudsecurityalliance.org). Le CloudAudit est un important sous-groupe de l’Alliance CSA qui développe une interface de programmation d’applications pour automatiser l’audit, l’évaluation et la garantie des données et des applications au sein de et entre les nombreux Clouds (voir www.cloudaudit.org).

En intégrant des fonctionnalités de sécurité et d’audit au sein des infrastructures Cloud, l’industrie estime pouvoir amortir les coûts fi xes substantiels qui, sinon, seraient trop conséquents pour chaque entreprise utilisatrice. Lors d’une présentation à l’occasion du Neuvième Atelier sur l’économie de la sécurité de l’information (Ninth Workshop on the Economics of Information Security) qui s’est tenu en juin 2010, Dave Molnar et Stuart Schechter de Microsoft Research ont suggéré des exemples tels que « la défi nition d’une stratégie de sécurité pour les serveurs et le réseau, la formation du personnel sur tout un éventail de tâches requises par la stratégie de sécurité, le suivi des nouvelles menaces et des contre-mesures ainsi que le développement d’une relation avec les autorités [de conformité]. » 7 Ils ont par ailleurs préconisé des fonctionnalités de sécurité et d’audit spécifi ques susceptibles d’être intégrées aux Clouds, à l’instar d’outils d’hébergement comme Cpanel :

• Outils d’audit du réseau et des systèmes d’exploitation• Suivi de tous les logiciels, éditeurs, versions et niveaux de patch

installés• Stockage des données des cartes de crédit et détection des fraudes• Génération de clés publiques/privées, génération de certifi cats et

stockage• Authentifi cation et protection automatiques des communications

réseau intra-locataire• Consignation (en mode ajout seul) sécurisée des événements système• Filtrage du spam• Hachage et stockage des mots de passe• Génération et vérifi cation de CAPTCHA• Des gadgets logiciels tels que des outils pour mesurer la force des mots

de passe

Au fur et à mesure, les eff orts réalisés par les fournisseurs faciliteront la sécurisation des données dans le Cloud et la vérifi cation par les abonnés de la sécurité de ces mêmes données.

Listes de contrôles pour la sécurité dans le Cloud et les audits Nous conclurons avec deux listes de contrôle destinées à résoudre les principaux défi s liés à la sécurité et la conformité de l’informatique dans les nuages : la sécurisation des données dans un environnement Cloud et l’audit de la sécurité de ces données. Même si ces considérations ne sont pas exhaustives, elles off rent une véritable voie pour préparer les professionnels de la sécurité informatique, de la conformité et de l’audit à l’heure où leurs responsabilités s’étendent au nouveau monde du Cloud computing.

Évaluation des risques dans les environnements virtuelsLa virtualisation est le fondement de l’informatique dans les nuages. Assurant productivité et économies d’échelle, elle offre également de nouveaux défis en matière d’audit et de conformité. Chargé de définir les normes pour le traitement sécurisé des cartes de crédit et de débit à l’échelle mondiale, le PCI Security Standards Council recommande de s’appuyer sur quatre éléments pour évaluer les risques liés aux environnements virtuels :

• La définition de l’environnement. ll vous faut identifier chaque composant, flux de trafic et communication, l’emplacement physique des composants et des données, les fonctions et les niveaux de sécurité des composants virtualisés, le déploiement de la segmentation et bien d’autres éléments.

• L’identification des menaces. Vous devez identifier là où des attaques potentielles sont susceptibles d’affecter l’environnement virtuel. Tenez compte des composants virtuels tels que l’hyperviseur ou les communications hors bande non sécurisées entre des composants partagés.

• L’identification des vulnérabilités. Outre les habituelles vulnérabilités qui affectent les ressources physiques, il en existe d’autres capables de nuire à des technologies et à des configurations de virtualisation spécifiques. Les traditionnels outils d’évaluation n’ont pas de visibilité dans un environnement virtuel.

• L’évaluation et la réduction des risques. Le résultat déterminera si vous avez besoin de contrôles supplémentaires pour protéger les données dans un environnement virtualisé.

CloudAudit

Initiatives de l’industrie pour l’audit et la

conformité dans le Cloud

7 David Molnar et Stuart Schechter, « Self Hosting vs. Cloud Hosting : Accounting for the security impact of hosting in the cloud,» p. 11 (Microsoft Research : 08 juin 2010); http://weis2010.econinfosec.org/papers/session5/weis2010_schechter.pdf.

© Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs. 01/12

www.qualys.com

Qualys, Inc. - Headquarters 1600 Bridge ParkwayRedwood Shores, CA 94065 USAT: 1 (800) 745 4355, info@qualys.com

Qualys is a global company with offices around the world. To find an office near you, visit http://www.qualys.com

A propos de Qualys

Qualys, Inc. est le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité en mode SaaS. Déployables en quelques heures seulement partout dans le monde, les solutions à la demande de Qualys fournissent une vue immédiate et permanente de l’état de la sécurité et de la conformité de l’entreprise.

Actuellement utilisé par plus de 5000 entreprises dans 85 pays, dont 45 des 100 premières sociétés mondiales du classement Fortune, le service QualysGuard® réalise plus de 500 millions d’audits IP par an. Ayant opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société d’envergure mondiale, Qualys est reconnu comme le chef de fi le du marché par des analystes de premier ordre. Qualys a été récemment nommé Best Security Company dans la catégorie Récompenses d’excellence lors des SC Awards U.S. 2011.

Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, NTT, SecureWorks, Symantec, Tata Communications et TELUS. Qualys est également membre fondateur de l’Alliance CSA (Cloud Security Alliance).

Pour de plus amples informations, rendez-vous sur www.qualys.com.

La sécurisation des données dans le Cloud

Problématique Tâche

❑ Propriété des données Avez-vous tous les droits et un accès complet à vos données ?

❑ Séparation/Ségrégation des données

Vos données sont-elles isolées de celles des autres clients ?

❑ Chiff rement des données Vos données sont-elles chiff rées lors de leur transit et stockage ?

❑ Sauvegarde/récupération des données

Vos données sont-elles sauvegardées et disponibles à des fi ns de récupération ?

❑ Destruction des données Vos données sont-elles détruites en toute fi abilité une fois qu’elles ne sont plus utiles ?

❑ Contrôle d’accès Qui a accès à vos données ?

❑ Gestion de l’activité/des journaux

L’accès à vos données est-il tracé, consigné et régulièrement vérifi é ?

❑ Réaction aux incidents Des processus et des notifi cations sont-ils disponibles pour les incidents (dont les violations à la politique de sécurité) qui impactent vos données ?

❑ Contrôles de sécurité Des mesures de sécurité et de confi guration appropriés sont-ils déployés pour protéger vos données ?

❑ Gestion des patchs Les systèmes qui stockent vos données ont-ils été corrigés des derniers exploits et vulnérabilités ?

La vérifi cation de la sécurité des données dans le Cloud

Problématique Tâche

❑ Clause de droit à l’audit Avez-vous la possibilité d'auditer le fournisseur ?

❑ Audit externe Le fournisseur a-t-il recours à un auditeur externe et met-il ces rapports de contrôle à disposi-tion à des fi ns d’analyse ?

❑ Certifi cations de sécurité

Le fournisseur dispose-t-il de la(des) certifi cation(s) pour vérifi er les contrôles de sécurité ?

❑ Supervision de la sécurité

Avez-vous accès aux outils de sécurité pour superviser la sécurité globale de vos données ?

❑ Procédures d’audit Quels sont les risques encourus et quels outils et procédures d’audit utiliserez-vous pour auditer ces risques ?

Pour en savoir plusDes milliers d’entreprises dans le monde entier utilisent les solutions SaaS de Qualys pour gérer les risques de sécurité informatique et la conformité. Rendez-vous sur qualys.com pour en savoir plus, assister à des présentations ou demander des versions d’évaluation.