Les programmes de conformité sont conçus pour faire face aux menaces ou aux risques perçus dans un secteur d'activité. Les organisations doivent s'assurer que leurs programmes de contrôle et d'audit de conformité sont mis en place pour faire face à ces risques, même si leur infrastructure de déploiement, leurs environnements et leurs applications changent.
Ce point est particulièrement important dans le domaine du « Cloud », qui est devenu essentiel pour de nombreuses entreprises aujourd'hui. Par exemple dans le domaine des applications que chaque organisation exécute dans le Cloud. De nouveaux codes sont lancés quotidiennement pour ces applications et, sans un suivi adapté, le niveau de conformité de l'organisation pourrait être compromis.
En réalité, le Cloud est dynamique par nature, et plusieurs questions se posent dans le contexte du respect des exigences de conformité.
“Conformité” n’est pas synonyme de “sécurité”
Il est important de se rappeler que la conformité n'est pas synonyme de sécurité, car si les programmes de conformité permettent de définir une base de référence pour les contrôles, ceux-ci sont basés sur des vecteurs de menace communs.
La conformité peut en réalité donner un faux sentiment de sécurité qui ne peut être garanti, surtout avec le rythme rapide auquel évoluent le Cloud et le développement. Par exemple, si une norme de conformité exige des mots de passe complexes pour protéger l'accès au système, elle ne tient pas compte des attaquants qui utilisent des attaques complexes par phishing ou par injection pour extraire des informations d'identification ou contourner complètement les contrôles des mots de passe.
Les failles dans le Cloud et d'autres événements de sécurité majeurs ont permis d'améliorer les pratiques et les contrôles de sécurité, grâce à une automatisation liée aux programmes de conformité. Il s'agit toutefois d'une approche réactive qui ne tient pas compte des menaces inconnues (zero day) et futures. En outre, les microservices en Cloud doivent non seulement respecter les mêmes normes de conformité, mais aussi faire l'objet d'une surveillance constante pour la gestion de la posture de sécurité et de conformité.
Comment les entreprises peuvent-elles rester au top de la conformité dans le Cloud ?
Les étapes pour maintenir la sécurité et la conformité dans le Cloud sont nombreuses et peuvent sembler impossibles si elles ne sont pas encadrées par les bonnes personnes, les processus et la technologie.
Voici quelques étapes essentielles pour garantir la conformité dans le Cloud.
-
1ère étape : Assurer la visibilité des actifs du Cloud
On ne peut protéger que ce que l’on voit et dont on connaît l'existence, mais cela représente un défi particulier avec les microservices. Avec le Cloud, ce sont les ressources virtualisées qui constituent les principaux actifs. Il est donc impératif de mettre en place des systèmes bien définis, correctement conçus pour évoluer tout en surveillant en permanence les déploiements en Cloud. Pour de nombreuses entreprises, la surveillance et le suivi des actifs permet d'améliorer le rapport qualité-prix, car les opérations doivent être conçues pour pouvoir être étendues ou réduites selon les besoins. L'automatisation des opérations en Cloud permet de dresser l'inventaire et la configuration des actifs, ainsi que la visibilité.
-
2ème étape: Définir le cadre de conformité
Cela signifie choisir le programme de conformité en fonction des besoins de son secteur ou de son marché, et s'assurer que la technologie dont on dispose peut s'adapter aux dernières normes. Pour les entreprises qui ne disposent pas de normes réglementaires, les besoins de la clientèle peuvent guider la décision, car les clients recherchent souvent des fournisseurs qui respectent les normes applicables à leur secteur. Un autre bon point de départ serait de choisir des normes commerciales communes, comme celles du National Institute of Standards and Technology (NIST).
-
3ème étape: Évaluation, exclusions et personnalisation
Avec tous ces programmes de conformité, il est judicieux d'examiner comment les autres ont construit des solutions pour répondre aux cadres de conformité. Par exemple, les cadres PCI indiquent que des composants spécifiques du système de données des titulaires de cartes (plutôt que l'ensemble du réseau ou du système interconnecté) doivent bénéficier de l'essentiel des protections. Cela se traduit par la segmentation et le pare-feu de certaines parties du système afin d'isoler les contrôles de conformité aux seuls systèmes et données du périmètre donné. La personnalisation d'un système pour répondre aux exigences de conformité peut entraîner des économies et des gains d'efficacité.
-
4ème étape: Surveillance, fréquence des contrôles d'évaluation continue, intégration aux outils de flux de travail
Les programmes de conformité suivent souvent le modèle selon lequel les contrôles doivent être opérationnels à tout moment, mais cela signifie également qu'ils doivent être surveillés en permanence. Pour que les équipes chargées de la sécurité du Cloud computing puissent gérer cette situation, il convient d'utiliser des outils qui permettent d'automatiser les flux de travail. L'analyse continue de la conformité et de la sécurité, les notifications et l'émission de tickets sont autant d'éléments qui garantissent l'efficacité de leurs contrôles. Ces outils devraient également offrir une perspective optimisée aux organisations, ce qui se traduit par une visibilité et par un contrôle renforcés.
-
5ème étape : Rectification automatisée
Les systèmes fonctionnant dans le Cloud sont considérés comme plus complexes que leurs homologues traditionnels. Il existe de nombreux domaines dans lesquels les organisations peuvent automatiser la rectification, notamment les tâches de sécurité ou les flux de travail plus complexes. Les contrôles complexes, tels que les logs à gros volume et le balayage et l'analyse des menaces, sont souvent effectués par automatisation pour stimuler la valeur et l'efficacité. Cependant, il est important de faire preuve de prudence avec cette automatisation afin de minimiser les faux positifs.
-
6ème étape : Rapports et audits
Dans les cas où la mise en œuvre du Cloud prend en charge un cadre de conformité, il faut aussi prévoir des rapports. Dans de nombreux cas, c’est le fournisseur de services Cloud (CSP), qui conserve le contrôle physique de l'infrastructure du Cloud, qui se charge de cette déclaration. Dans ce cas, l’entreprise cliente doit s’assurer que son CSP fournit des rapports réguliers et satisfaisants indiquant que ces contrôles de conformité répondent à ses besoins.
Les clients peuvent également exiger ces informations, ou que l’entreprise reconnaisse l'utilisation d'un fournisseur de services en Cloud spécifique dans l'accord contractuel et qu'il lui incombe d'examiner et de maintenir la véracité de ces contrôles tiers.
Bien souvent, les rapports d'audit du CSP sont le seul moyen de vérifier les contrôles de sécurité d'un fournisseur. En effet, les vendeurs n'ont pas la capacité opérationnelle de permettre à chacun de leurs clients de les auditer.
Une dernière remarque sur l'utilisation des rapports d'audit de son fournisseur : il s'agit souvent de rapports sensibles et à usage restreint, et la possibilité de partager ces informations avec ses propres clients est donc limitée. Il est donc important de vérifier auprès de son département juridique ou de son équipe de conformité que l’entreprise ne considère pas les informations de certification de conformité du fournisseur de CSP comme sa propriété, sauf si ce dernier l'a autorisé.
En plus des rapports du CSP et des auditeurs, les entreprises s'appuient souvent sur les capacités de reporting de leur outil de gestion de la posture de sécurité du cloud computing car il inclut tous les actifs du Cloud dans le contexte du cadre de conformité.
Changements dans le cloud = changements dans la conformité
Chacun des grands CSP (par exemple, Amazon, Google et Microsoft Azure) offre désormais des centaines de services uniques et les régulateurs des programmes de conformité reconnaissent la nécessité de s'adapter à la complexité du cloud. Par exemple, les programmes courants d'assurance de la sécurité tels que CIS Benchmark, NIST, SOC2, PCI DSS et ISO27001 ont mis en place des cadres de sécurité améliorés pour répondre aux besoins du Cloud. Cela inclut les nouvelles technologies et les risques de sécurité que cette nouvelle réalité du Cloud a entraînés.
De plus, les réglementations de conformité axées sur la protection de la vie privée, telles que le RGPD (règlement général sur la protection des données) ont déjà un impact, définissant de nouveaux processus commerciaux qui peuvent nécessiter de nouvelles stratégies de mise en œuvre du Cloud. Les entreprises doivent donc rechercher des fournisseurs de Cloud computing et des prestataires de services offrant des solutions pour répondre à ces exigences de conformité.
Contrôle et respect des règles
En fin de compte, l'assurance de la conformité concerne la maturité d'une activité pour identifier et protéger correctement les données et les systèmes. Chaque entreprise individuelle a besoin d'un processus pour identifier les risques et les contrôles pour les atténuer. Cela signifie qu’il faut se tenir prêt à identifier chaque contrôle, à le relier à ses exigences ou ses risques, et à le documenter. Cette habitude sera bénéfique lorsque l’entreprise prendra la décision de développer une activité de sécurité et de conformité dans le Cloud.
Cela est d'autant plus vrai qu’un programme de conformité prend en compte la sécurité et les technologies pour faciliter la conformité. Par exemple, dans le cas d'une exigence de conformité telle que la nécessité d'examiner tous les logs, un SIEM ou un IDS est utilisé pour examiner et fournir des alertes en temps réel sur les risques potentiels, contribuant ainsi à répondre à l'exigence.
Néanmoins, au fil du temps, à mesure que les systèmes évoluent, les contrôles doivent être adaptés pour tenir compte des modifications des composants et des types d'événements, il en va de même pour l’inventaire de contrôle et de la documentation. Les outils automatisés peuvent aider à effectuer ces ajustements nécessaires tout en améliorant la détection des menaces et les délais de réponse/remédiation.
Il est important de s'assurer que l'outil d'auto-remédiation peut établir des priorités en fonction de l'évaluation des risques pour la ressource en Cloud, ainsi que de la priorité de la menace. Par exemple, dans le cas d'événements à fort impact et à forte probabilité, il est important que son système détecte ces types d'attaques en se basant sur les renseignements de l'industrie, ainsi que sur l'analyse comportementale de l'application elle-même. Cela permettra de réduire le nombre de réglages manuels.
La conformité n'est pas une panacée
Si la conformité n'est pas une garantie de sécurité dans le Cloud, elle peut aider le client et le CSP à adopter une approche commune, avec des étapes vers la gestion des risques et l'application de contrôles pertinents. L'intérêt des programmes de conformité est qu'ils soulignent l'importance de la sécurité des données pour le fournisseur de services en Cloud computing comme pour le client et qu'ils imposent généralement un niveau minimum de contrôles de sécurité.
Cependant, il est important que les complexités introduites par le Cloud soient gérées de manière appropriée. Les dispositifs de sécurité, tels que les réseaux virtuels, la conteneurisation, les microservices, les pare-feux virtuels et autres offres basées sur le Cloud, ne sont pas aussi faciles à gérer qu'un environnement traditionnel. Et les exigences de conformité ne reflètent pas toujours les complexités des nouveaux systèmes en Cloud ou n'indiquent pas les problèmes liés aux approches de sécurité traditionnelles qui ne fonctionnent pas aussi bien dans le Cloud.