La conformité du cloud est l’art et la science visant à respecter les normes réglementaires d’utilisation du cloud en accord avec les directives du secteur et les lois locales, nationales et internationales. Certaines exigences réglementaires communes comprennent les lois Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) et Gramm-Leach-Bliley Act (GLBA).
Une fois qu'une entreprise est dans le cloud, elle doit se préoccuper de la manière dont le fournisseur de cloud l'aidera à rester en conformité avec les lois, telles que le règlement général sur la protection des données (RGPD) en Europe ou l'HIPAA aux États-Unis. Cette discussion doit commencer dès le début plutôt qu'après la mise en place du service de cloud.
Il arrive cependant que les entreprises se retrouvent parfois dans le cloud plus tôt que prévu, ce qui complique les choses. L’un des principaux critères du cloud est qu’il doit y avoir une interface en libre-service afin que le client puisse facilement configurer, modifier et quitter les services cloud.
On ne sait pas pour autant qui va s’en occuper du côté du client. Eh bien, cela peut être n’importe quel membre de l’entreprise. Un service peut se lancer et placer ses données dans le cloud, s’il possède la carte de crédit de l’entreprise. Le terme qui désigne cette pratique est connu : il s'agit de la Shadow IT. Il est fréquemment utilisé en ce moment en raison des caractéristiques du cloud.
La gouvernance est la supervisions que fournissent à une entreprise la direction générale et le conseil d'administration. La gouvernance du cloud est une extension de cette supervision au cloud. La gouvernance est essentielle. Sans elle, trop de questions restent sans réponse concernant les objectifs d’une entreprise, ce qui rend très difficile la gestion d'un cloud et de sa sécurité.
Avant qu’une entreprise ne puisse passer au cloud, elle doit étudier ses objectifs. Les buts et les objectifs doivent être guidés par les lois, les règlements et les contrats applicables. Au-delà des aspects juridiques, la gouvernance du cloud met les employés sur la bonne voie pour aider l’entreprise à atteindre ses objectifs.
En cas d'erreur majeure, le cloud peut compliquer les choses et empêcher les utilisateurs de faire leur travail. Les erreurs peuvent même conduire une entreprise devant les tribunaux. Le conseil d'administration et la direction générale de l’entreprise doivent prêter attention au cloud.
La loi est le premier sujet de toute discussion sur la conformité. Les entreprises et leurs avocats doivent déterminer quelles lois doivent être respectées. Ils doivent également être clairs quant aux conséquences de la non-conformité. Une fois les lois identifiées, il est important de se demander quels contrôles de sécurité doivent être mis en place pour se conformer aux lois et règlements applicables.
Les réglementations telles que le RGPD de l’UE requièrent que les informations personnelles bénéficient d’une sécurité importante. Le RGPD de l’UE comporte également des contraintes très spécifiques sur le lieu où les données couvertes par la réglementation peuvent être traitées et stockées. Cela peut poser problème avec le cloud, au vu du fonctionnement de la technologie ; cependant, il est possible de mettre en place des contrôles avec les principaux fournisseurs de cloud pour satisfaire aux exigences du RGPD de l'UE.
Les contrats définissent un accord formel entre deux parties ou plus. Lorsqu’une entreprise signe un contrat, elle doit en respecter les conditions. Dans le cas contraire, elle pourrait subir de lourdes pénalités financières.
Une organisation qui traite ou stocke des informations de carte de crédit a probablement signé un accord avec des sociétés de carte de crédit, qui requièrent qu’elle mette en place des éléments spécifiques de la norme Payment Card Industry-Data Security Standard (PCI-DSS).
Pour pouvoir traiter des paiement par carte de crédit, une entreprise signe un contrat dans lequel elle promet de respecter les 12 exigences de sécurité de la norme. Le niveau auquel les exigences doivent être mises en œuvre dépend du nombre de transactions traitées par an.
Une entreprise doit également déterminer si l’un des contrats avec ses clients modifie ce qu’elle peut faire ou non avec le cloud. Y a-t-il un impact sur la conformité, si elle utilise un cloud public, privé, communautaire, etc. ?
De nombreuses entreprises utilisent des normes telles que ISO 27001 ou NIST SP 800-53 en tant que base pour mettre en œuvre des contrôles de sécurité. Si une entreprise décide d'utiliser la norme ISO 27001, elle doit former ses employés afin que les contrôles appropriés soient en place. Ces derniers s'étendent au cloud. La norme ISO a isolé les contrôles spécifiques au cloud et les a traités dans la norme ISO 27017.
Un audit permet d'évaluer le niveau de conformité aux lois, réglementations et contrats. Les audits peuvent être internes ou externes. Un audit interne, réalisé par les propres auditeurs de l'entreprise, fournit une auto-évaluation pour déterminer son niveau de conformité. Les résultats d'un audit interne peuvent être considérés comme faussés, car les auditeurs peuvent être biaisés dans leurs conclusions.
Pour obtenir un avis plus objectif, une entreprise peut choisir d’être auditée par une entreprise tierce indépendante. Les audits que nous voulons évoquer concernant le cloud sont ceux effectués par le fournisseur de cloud.
La plupart des fournisseurs de cloud n'accueillent pas leurs clients dans leurs data centers pour qu'ils effectuent leur propre audit ; nous nous appuyons donc sur des audits tiers indépendants.
Le résultat d’un audit est consigné dans le rapport d'audit. Les rapports sont normalisés par l’American Institute of Certified Public Accountants (AICPA). Toutes les entreprises doivent demander le rapport d'audit SOC 2®. Un rapport SOC 2® est destiné aux organisations de service telles que les fournisseurs de cloud. Il montre par exemple la conformité aux contrôles définis dans la norme ISO 27001 ou dans le NIST Cybersecurity Framework (CSF). Les contrôles sont évalués selon les cinq critères de services de confiance de l’AICPA, qui sont les suivants :
Ces rapports peuvent être de type 1 ou de type 2. Un rapport de type 1 montre le statut des contrôles à un moment précis, et montre que les contrôles sont conçus et installés à un certain niveau de pertinence. Un rapport de type 2 montre l’efficacité opérationnelle des contrôles sur une période donnée, par exemple six mois.
Un client du cloud doit demander ces rapports, mais il est possible que le fournisseur de cloud ne souhaite pas les fournir : ils peuvent contenir des informations sensibles sur leur entreprise. Le SOC 3®, conçu comme un rapport à usage général, est une autre option possible. Il contient très peu d'informations concernant l'activité du fournisseur de services de cloud. Il donne ou ne donne pas au client le sceau d'approbation de l'auditeur pour le fournisseur de services de cloud.
Articles associés
Recherches associées