STRATÉGIES DE GOUVERNANCE

Nouvelles exigences pour la
sécurité, la conformité et l’audit
dans le Cloud
Le Cloud computing...
Présentation du Cloud computing
Il est important de définir avec précision le Cloud computing, ou informatique dans les nu...
Limites du Cloud en matière de contrôles de sécurité propriétaires
Même s’il existe de nombreux types de Clouds, tous ont ...
Étant donné la nature du partage des responsabilités dans les environnements Cloud, il est
important que les fournisseurs ...
A.7 Gestion des actifs
•	 L’entreprise doit fournir et maintenir l’ensemble de
l’infrastructure physique et numérique. L’a...
Initiatives de l’industrie pour la sécurité dans le Cloud
L’industrie informatique développe des solutions standard pour l...
La sécurisation des données dans le Cloud
Problématique

Tâche

❑

Propriété des données

Avez-vous tous les droits et un
...
Prochain SlideShare
Chargement dans…5
×

Nouvelles exigences pour la sécurité, la conformité et l'audit dans le Cloud

879 vues

Publié le

Le Cloud computing pose de nouveaux défis aux professionnels de la sécurité, en charge de la protection des données de l’entreprise et des ressources informatiques. Les abonnés aux services Cloud laissent en effet accès au contrôle de leurs données, de leurs applications et de leurs actions, et donnent une visibilité au statut des données, et à l’utilisation des applications. Voici donc quelques recommandations pour assurer la conformité des mesures de sécurité.

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
879
Sur SlideShare
0
Issues des intégrations
0
Intégrations
147
Actions
Partages
0
Téléchargements
32
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Nouvelles exigences pour la sécurité, la conformité et l'audit dans le Cloud

  1. 1. STRATÉGIES DE GOUVERNANCE Nouvelles exigences pour la sécurité, la conformité et l’audit dans le Cloud Le Cloud computing, ou informatique dans les nuages, pose de nouveaux défis aux professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information qui sont chargés de protéger les données de l’entreprise ainsi que les ressources informatiques tout en s’assurant de la conformité des mesures de sécurité. Le Cloud bouleverse la prédictabilité associée aux architectures informatiques, aux contrôles de sécurité et aux procédures d’audit traditionnels et oblige les abonnés aux services Cloud à déléguer deux ressources essentielles aux fournisseurs de services Cloud : (1) Le contrôle des données, des applications et des actions et (2) la visibilité du statut des données et de l’utilisation des applications. Le présent document explique comment le monde de la sécurité, de l’audit et de la conformité des systèmes d’information doit évoluer dans les environnements Cloud. Commençant par une définition de l’informatique dans les nuages et de ses divers modèles, ce document explique comment le Cloud computing fait évoluer les hypothèses de travail en matière de sécurité. Il propose également des recommandations aux auditeurs chargés de vérifier l’efficacité des mesures de sécurité mises en oeuvre au sein des services Cloud. Sommaire I. Définition du Cloud computing 2 II. Limites du Cloud en matière de contrôles de sécurité propriétaires 3 III. Nouvelles exigences pour la sécurité dans le Cloud 4 IV. Initiatives de l’industrie pour la sécurité dans le Cloud 6 V. Listes de contrôle pour la sécurité et les audits dans le Cloud VI. À propos de Qualys 6 7
  2. 2. Présentation du Cloud computing Il est important de définir avec précision le Cloud computing, ou informatique dans les nuages. En effet, ce terme est très utilisé par le grand public en dépit de définitions sensiblement différentes qu’en donnent les professionnels de l’informatique. Aussi bien l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) que l’agence gouvernementale américaine pour la promotion et le développement de standards technologiques (NIST) donnent des définitions largement semblables de l’informatique dans les nuages. Selon l’agence NIST : Le Cloud computing est un modèle qui offre un accès au réseau à la fois pratique et à la demande à un ensemble partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications, services…) qui peut être rapidement provisionné et diffusé moyennant un effort d’administration minime ou une interaction des fournisseurs de services minimale.1 La définition de l’agence NIST identifie également cinq caractéristiques essentielles du Cloud computing : un libre-service à la demande qui permet au consommateur de services Cloud de dimensionner des services sans exiger l’intervention humaine d’un fournisseur de services ; un large accès au réseau via tout un éventail de mécanismes et d’équipements standards ; le regroupement de ressources pour que les fournisseurs puissent servir simultanément de nombreux utilisateurs n’ayant eux-mêmes aucune maîtrise ou connaissance des différentes technologies et ressources qui sont au cœur du fonctionnement du Cloud ; une grande souplesse qui permet à l’utilisateur de fournir rapidement des niveaux supplémentaires de services en fonction des besoins ; et des services sur mesure pour superviser, contrôler et générer des rapports sur l’utilisation. En outre, les utilisateurs de ressources Cloud peuvent choisir parmi trois types de services Cloud définis comme suit par l’agence NIST : • Des logiciels fournis sous la forme de services (SaaS) via le Cloud qui permettent d’utiliser les applications opérées sur l’infrastructure du fournisseur. Par exemple, les offres de sécurité et de conformité de Qualys sont fournies en mode SaaS. • Une plate-forme fournie sous la forme de services (PaaS) via le Cloud qui permet au consommateur de déployer des applications qu’il crée ou achète sur l’infrastructure Cloud à l’aide des outils et langages de programmation du fournisseur. Avec l’offre PaaS, le consommateur contrôle l’application mais pas l’infrastructure sous-jacente. Windows Azure de Microsoft Corporation est un bon exemple. • Une infrastructure fournie sous la forme de services (IaaS) via le Cloud qui permet d’exécuter des systèmes d’exploitation et des applications sur l’infrastructure Cloud du fournisseur. L’IaaS revient à louer un espace informatique détenu et exploité par un fournisseur dans le Cloud. Amazon Elastic Compute Cloud (EC2) est un bon exemple. En outre, l’agence européenne ENISA signale que les services informatiques dans le Cloud sont disponibles dans trois modèles de déploiement principaux2 . Un Cloud privé qui fonctionne selon les principes du Cloud computing mais qui est uniquement accessible au sein d’un réseau privé. Un Cloud de partenaires, parfois également appelé un Cloud communautaire, est composé de services Cloud offerts par un fournisseur à un nombre de parties limité et bien défini. Un Cloud public est disponible pour n’importe quel individu ou toute entreprise qui souhaite louer ses services (les services de Qualys sont fournis via un Cloud public). De surcroît, l’agence NIST identifie un quatrième modèle : le Cloud hybride qui est une quelconque combinaison de ce qui précède et qui se compose de deux Clouds voire plus connectés pour assurer la portabilité des données et des applications. 1 « The NIST Definition of Cloud Computing (Draft), » NIST Special Publication 800-145, p. 2 (Janvier 2011); http://csrc.nist.gov/publications/drafts/800-145/DraftSP-800-145_cloud-definition.pdf. 2 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport 2
  3. 3. Limites du Cloud en matière de contrôles de sécurité propriétaires Même s’il existe de nombreux types de Clouds, tous ont une caractéristique commune : les abonnés doivent déléguer le contrôle et la visibilité à des fournisseurs de services Cloud. L’agence américaine NIST développe cette notion : 3 • Le contrôle : la capacité de décider, en toute confiance, qui et quoi est autorisé à accéder aux données et aux applications des abonnés et la possibilité d’exécuter des actions (notamment effacer des données ou déconnecter un réseau) en ayant la garantie que ces deux actions ont été réalisées et qu’aucune autre action n’a été entreprise pour contrarier les intérêts des abonnés (par exemple la demande d’un abonné portant sur la suppression d’un objet de données ne doit pas être entravée par la génération silencieuse d’une copie). • La visibilité : la capacité à maîtriser, en toute confiance, l’état des données et des applications d’un abonné ainsi que les accès par des tiers. Les professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information admettront que le contrôle et la visibilité sont des facteurs vitaux pour les mécanismes de sécurité traditionnels utilisés pour protéger les données et les applications ainsi que pour vérifier l’efficacité de ces mesures en matière de conformité. Dans le cadre d’un modèle informatique orienté vers un centre de données propriétaire, le contrôle et la visibilité n’étaient jamais remis en cause. La sécurité se concentrait sur un périmètre bien défini si bien que les mesures majeures étaient destinées à protéger les centres de données contre des attaques externes. La réglementation sur la conformité, notamment les lois Gramm-LeachBliley Act et Health Insurance Portability and Accountability Act promulguées aux États-Unis ainsi que les lois nationales dans les pays européens découlant de la Directive européenne sur la protection des données à caractère personnel, ont également augmenté le niveau d’exigences en matière de sécurité et de conformité. Ces nouvelles exigences ont engendré l’apparition d’outils de gestion de la gouvernance, des risques et de la conformité (GRC) pour des activités telles que l’évaluation des risques et la gestion des configurations et des vulnérabilités. Les questions liées au contrôle et à la visibilité affectent la responsabilité de l’exécution de la sécurité, de l’audit et de la conformité. Par exemple, à des fins de conformité à la norme PCI DSS (Payment Card Industry Data Security Standard), la norme déployée à l’échelle mondiale pour le traitement sécurisé des cartes de crédit, le PCI Security Standards Council recommande aux entités de tenir compte des évolutions de la responsabilité en fonction du type d’offre de services Cloud (voir l’illustration du Conseil) : 4 Auditer la sécurité des équipements mobiles Les équipements mobiles présentent de nouveaux risques dans la mesure où des données sensibles situées dans le Cloud peuvent être consultées à distance ou sont stockées sur des points d’extrémité mobiles. Voici quelques recommandations clés formulées par l’organisme de formation et de certification à la sécurité ISACA 5: • Vérifiez que n’importe quelle donnée étiquetée comme sensible est correctement sécurisée lors de son transit ou au repos. • Vérifiez si les utilisateurs d’équipements nomades se connectent au réseau de l’entreprise via une connexion sécurisée. • Vérifiez si un processus de gestion des actifs a été déployé pour suivre les équipements mobiles. 3 DRAFT Cloud Computing Synopsis and Recommendations, » NIST Special Publication 800-146, p. 4-3 (Mai 2011) ; http://csrc.nist.gov/publications/drafts/800-146/Draft-NIST-SP800-146.pdf. 4 PCI Security Standards Council, « Information Supplement: PCI DSS Virtualization Guidelines,” p. 23 (Juin 2011), https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf. 5 http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Securing-Mobile-Devices. aspx 3 • Vérifiez si la synchronisation des données des équipements mobiles n’est pas configurée pour accéder à des fichiers partagés ou à des unités réseau contenant des données interdites d’utilisation mobile.
  4. 4. Étant donné la nature du partage des responsabilités dans les environnements Cloud, il est important que les fournisseurs de services facilitent l’extension des outils d’audit et de conformité vers des zones qu’ils administrent directement. Les entreprises ont besoin de cette collaboration dans la mesure où la réglementation en matière de sécurité et des lois plus récentes étendent le parapluie de la conformité à l’évaluation de tierces parties, notamment les fournisseurs de services Cloud. Il s’agit d’une conséquence de la dissémination des données liée à la sous-traitance, à la délocalisation et à l’adoption massive des équipements mobiles des salariés en situation de nomadisme. Les équipements mobiles posent de nouveaux problèmes d’audit Hier, les professionnels de la sécurité et de l’audit pouvaient supposer que les données restaient toujours cloisonnées au périmètre protégé. Aujourd’hui, il y a fort à parier que ces données peuvent théoriquement se trouver n’importe où en dehors du périmètre traditionnel, en particulier avec l’adoption de l’informatique dans les nuages. Les traditionnels outils de supervision et d’audit à base d’agents ne s’étendent pas automatiquement aux services Cloud. Qui plus est, des données sensibles sont également stockées sur des smartphones, des tablettes PC et d’autres équipements mobiles. De même, les outils de sécurité et d’audit ne s’étendent pas systématiquement aux équipements mobiles. En effet, la plupart de ces équipements ne s’appuient pas sur les systèmes d’exploitation traditionnels tels que Windows. Ils ne sont donc pas en mesure d’exécuter les agents logiciels traditionnels que vous souhaiteriez voir lancer. Pour toutes ces raisons, il est important d’identifier de nouvelles exigences pour sécuriser les données dans le Cloud ainsi que votre capacité à vérifier sa sécurité à des fins de conformité. Nouvelles exigences pour la sécurité dans le Cloud En raison de la nature même du Cloud computing, votre entreprise ne peut disposer du même niveau de contrôle direct qu’elle a habituellement sur la sécurité des données et la vérification de sa fiabilité. Cependant, cette restriction n’empêche pas l’adoption organisationnelle du Cloud computing. Aussi, dans un monde de politique réaliste, les professionnels de la sécurité, de la conformité et de l’audit des systèmes d’information doivent rechercher des solutions indirectes pour obtenir des résultats similaires à ce qu’ils attendent des environnements de centre de données traditionnels. Nombreuses sont les entreprises qui s’appuient sur un ou plusieurs référentiels de politique pour structurer et hiérarchiser le choix, le déploiement et la gestion d’une myriade de mesures de sécurité. Dans le présent document, nous utilisons la série de normes ISO27000 qui a été largement adoptée par des entreprises des secteurs public et privé en Europe. Pour les entreprises qui doivent également se conformer à la norme NIST d’origine américaine, une annexe à la publication spéciale NIST Special Publication 800-53 intitulée : Recommended Controls for Federal Information Systems and Organizations offre une correspondance entre les deux normes. 6 La norme ISO27002 divise les contrôles de sécurité en onze catégories majeures qui correspondent aux principales sections d’un plan de sécurité typique pour une entreprise. Pour les environnements Cloud, les contrôles Cloud sont de la responsabilités des fournisseurs externes. Environnements propriétaires La sécurité du Cloud dépendante de la sécurité du navigateur Web Les navigateurs sont sur la ligne de front du Cloud. S’ils ne sont pas fiables, le Cloud est en danger. Suivez la procédure suivante pour garantir la sécurité de navigateur : • Mettez à jour les correctifs du navigateur. Actualisez les correctifs de sécurité du navigateur. Il ressort d’une étude réalisée par Qualys qu’environ 70% des navigateurs Web installés sont vulnérables. Parmi ceux-ci, 20% des vulnérabilités se trouvent dans le code ou dans la configuration du navigateur. • Mettez les plug-ins à jour. Les plug-ins du navigateur représentent 80% des vulnérabilités. Parmi ces dernières, la plupart se trouvent dans des applications populaires telles qu’Adobe Acrobat Reader, QuickTime et plus particulièrement Java. • Analysez régulièrement les navigateurs Web. L’analyse des vulnérabilités au sein du navigateur Web et des plug-ins est essentielle pour la sécurité et l’audit. Répétez l’opération après les corrections effectuées pour garantir la conformité. Environnements Cloud A.5 Politique de sécurité • Les politiques se concentrent sur les processus affectant les systèmes internes détenus et exploités par une entreprise. • Les politiques se concentrent sur les processus affectant les systèmes externes détenus et exploités actionnés par un fournisseur. A.6 Organisation de la sécurité de l’information • Procédures administrées en interne pour l’évaluation des risques et la gestion des vulnérabilités. • L’entreprise finalise les accréditations et les évaluations de sécurité appropriées. 6 • Le fournisseur doit confirmer la mise en œuvre effective des procédures appropriées d’évaluation des risques et de gestion des vulnérabilités. • Le fournisseur doit confirmer l’exécution des accréditations et évaluations de sécurité appropriées. Voir http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updated-errata_05-01-2010.pdf. 4
  5. 5. A.7 Gestion des actifs • L’entreprise doit fournir et maintenir l’ensemble de l’infrastructure physique et numérique. L’accent est mis sur les systèmes internes détenus et exploités par une entreprise. • Le fournisseur doit fournir et mettre à jour l’infrastructure physique et numérique. L’accent est mis sur les systèmes externes détenus et exploités par un fournisseur. A8. Sécurité des ressources humaines • L’accent est mis sur les employés et les sous-traitants travaillant directement pour une entreprise. • L’accent est mis sur les employés et les sous-traitants travaillant directement pour un fournisseur. • Vérification RH du passé professionnel du personnel embauché par une entreprise. • Le fournisseur doit confirmer l’exécution d’un filtrage efficace du personnel. Ceci comprend l’application de normes de filtrage sur tous les sites internationaux. A9. Sécurité physique et environnementale • L’entreprise doit garantir la sécurité physique, notamment les contrôles d’entrée physique ainsi que la localisation appropriée des équipements et des services et l’élimination sécurisée des équipements. • Le fournisseur doit confirmer l’exécution de contrôles efficaces pour la sécurité physique et environnementale de tous ses sites. A10. Gestion des communications et des opérations • Les opérations sont sous la seule responsabilité de l’entreprise. • Si un fournisseur fait faillite, il doit donner la garantie que l’abonné pourra prendre le contrôle de ses applications et données avant que l’infrastructure du fournisseur ne soit hors service. Le fournisseur doit donner l’assurance que les applications et les données de l’abonné ne deviendront pas la propriété des créanciers du fournisseur en cas de faillite de ce dernier. • L’entreprise est responsable de l’intégrité des systèmes et de l’information. • Le fournisseur doit confirmer les contrôles d’intégrité des systèmes et de l’information. A11. Contrôle d’accès • L’identification et l’authentification sont gérées en interne. • Dans l’idéal, le système d’identification et d’authentification interne de l’abonné fonctionnera avec les systèmes du fournisseur Cloud. • Les contrôles d’accès sont gérés en interne. • Le fournisseur doit confirmer le strict cloisonnement entre obligations et possibilité d’accès de ses employés et sous-traitants pour prévenir tout accès non autorisé aux données de l’abonné. A12. Acquisition, développement et maintenance de systèmes d’information • La gestion de la configuration des équipements nouveaux et existants est contrôlée par l’entreprise. • Le fournisseur doit confirmer une gestion efficace de la configuration. • Les contrôles des systèmes et des communications sont gérés en interne. • Le fournisseur doit confirmer le déploiement de contrôles appropriés pour protéger les systèmes et les communications. Ceci comprend les failles pouvant provenir de colocataires sur l’infrastructure Cloud ainsi que de facteurs externes. Le fournisseur doit s’assurer que le service de l’abonné n’est pas interrompu suite à des attaques par déni de service visant des colocataires. A13. Gestion des incidents de sécurité de l’information • Les contrôles visant à identifier, détecter, rapporter et corriger les incidents sont gérés en interne. • Le fournisseur doit confirmer le déploiement de contrôles appropriés pour identifier et rapporter les incidents et les remédier. Il doit aussi fournir aux abonnés des rapports sur l’ensemble des incidents qui seront auditables de manière indépendante. A14. Gestion de la continuité de l’activité • L’entreprise doit fournir des moyens de sauvegarde et de reprise après incident. • Le fournisseur doit confirmer la disponibilité de moyens de sauvegarde et de reprise après incident, que ce soit pour l’infrastructure physique ou autre. A15. Conformité • L’entreprise est responsable de la conformité à la réglementation, que ce soit pour la protection des données dans des états spécifiques ou pour la confidentialité des données dans des pays particuliers. Elle seule sert d’interface avec les agences de réglementation appropriées. • Le fournisseur doit fournir la garantie de conformité à l’abonné. Le fournisseur doit également assurer à l’abonné que son service ne s’interrompra pas dans le cas d’injonction de cessation d’activité et de désistement d’action ou de toute autre injonction affectant le service d’un colocataire. Les données de l’abonné ne doivent pas être consultées en cas de perquisition des données d’un colocataire. • L’audit et les contrôles de responsabilité financière sont gérés en interne ou par des auditeurs indépendants. • Le fournisseur doit fournir à l’abonné une preuve auditable de manière indépendante que tous les processus et accords SLA sont exécutés conformément aux termes du contrat. 5
  6. 6. Initiatives de l’industrie pour la sécurité dans le Cloud L’industrie informatique développe des solutions standard pour l’informatique dans les nuages. Une initiative d’envergure est menée par l’Alliance CSA (Cloud Security Alliance), un consortium regroupant plus de cent fournisseurs et prestataires de solutions opérant sur les cinq continents et œuvrant à la promotion de l’utilisation des meilleures pratiques pour garantir la sécurité dans le Cloud (voir https:// cloudsecurityalliance.org). Le CloudAudit est un important sous-groupe de l’Alliance CSA qui développe une interface de programmation d’applications pour automatiser l’audit, l’évaluation et la garantie des données et des applications au sein de et entre les nombreux Clouds (voir www.cloudaudit.org). En intégrant des fonctionnalités de sécurité et d’audit au sein des infrastructures Cloud, l’industrie estime pouvoir amortir les coûts fixes substantiels qui, sinon, seraient trop conséquents pour chaque entreprise utilisatrice. Lors d’une présentation à l’occasion du Neuvième Atelier sur l’économie de la sécurité de l’information (Ninth Workshop on the Economics of Information Security) qui s’est tenu en juin 2010, Dave Molnar et Stuart Schechter de Microsoft Research ont suggéré des exemples tels que « la définition d’une stratégie de sécurité pour les serveurs et le réseau, la formation du personnel sur tout un éventail de tâches requises par la stratégie de sécurité, le suivi des nouvelles menaces et des contre-mesures ainsi que le développement d’une relation avec les autorités [de conformité]. » 7 Ils ont par ailleurs préconisé des fonctionnalités de sécurité et d’audit spécifiques susceptibles d’être intégrées aux Clouds, à l’instar d’outils d’hébergement comme Cpanel : • • • • • • • • • • Outils d’audit du réseau et des systèmes d’exploitation Suivi de tous les logiciels, éditeurs, versions et niveaux de patch installés Stockage des données des cartes de crédit et détection des fraudes Génération de clés publiques/privées, génération de certificats et stockage Authentification et protection automatiques des communications réseau intra-locataire Consignation (en mode ajout seul) sécurisée des événements système Filtrage du spam Hachage et stockage des mots de passe Génération et vérification de CAPTCHA Des gadgets logiciels tels que des outils pour mesurer la force des mots de passe Au fur et à mesure, les efforts réalisés par les fournisseurs faciliteront la sécurisation des données dans le Cloud et la vérification par les abonnés de la sécurité de ces mêmes données. Listes de contrôles pour la sécurité dans le Cloud et les audits Nous conclurons avec deux listes de contrôle destinées à résoudre les principaux défis liés à la sécurité et la conformité de l’informatique dans les nuages : la sécurisation des données dans un environnement Cloud et l’audit de la sécurité de ces données. Même si ces considérations ne sont pas exhaustives, elles offrent une véritable voie pour préparer les professionnels de la sécurité informatique, de la conformité et de l’audit à l’heure où leurs responsabilités s’étendent au nouveau monde du Cloud computing. 7 David Molnar et Stuart Schechter, « Self Hosting vs. Cloud Hosting : Accounting for the security impact of hosting in the cloud,» p. 11 (Microsoft Research : 08 juin 2010); http://weis2010.econinfosec.org/papers/session5/ weis2010_schechter.pdf. 6 Initiatives de l’industrie pour l’audit et la conformité dans le Cloud CloudAudit Évaluation des risques dans les environnements virtuels La virtualisation est le fondement de l’informatique dans les nuages. Assurant productivité et économies d’échelle, elle offre également de nouveaux défis en matière d’audit et de conformité. Chargé de définir les normes pour le traitement sécurisé des cartes de crédit et de débit à l’échelle mondiale, le PCI Security Standards Council recommande de s’appuyer sur quatre éléments pour évaluer les risques liés aux environnements virtuels : • La définition de l’environnement. ll vous faut identifier chaque composant, flux de trafic et communication, l’emplacement physique des composants et des données, les fonctions et les niveaux de sécurité des composants virtualisés, le déploiement de la segmentation et bien d’autres éléments. • L’identification des menaces. Vous devez identifier là où des attaques potentielles sont susceptibles d’affecter l’environnement virtuel. Tenez compte des composants virtuels tels que l’hyperviseur ou les communications hors bande non sécurisées entre des composants partagés. • L’identification des vulnérabilités. Outre les habituelles vulnérabilités qui affectent les ressources physiques, il en existe d’autres capables de nuire à des technologies et à des configurations de virtualisation spécifiques. Les traditionnels outils d’évaluation n’ont pas de visibilité dans un environnement virtuel. • L’évaluation et la réduction des risques. Le résultat déterminera si vous avez besoin de contrôles supplémentaires pour protéger les données dans un environnement virtualisé.
  7. 7. La sécurisation des données dans le Cloud Problématique Tâche ❑ Propriété des données Avez-vous tous les droits et un accès complet à vos données ? ❑ Séparation/Ségrégation des données Vos données sont-elles isolées de celles des autres clients ? ❑ Chiffrement des données Vos données sont-elles chiffrées lors de leur transit et stockage ? ❑ Sauvegarde/récupération des données ❑ La vérification de la sécurité des données dans le Cloud Problématique Tâche ❑ Clause de droit à l’audit Avez-vous la possibilité d'auditer le fournisseur ? ❑ Audit externe Le fournisseur a-t-il recours à un auditeur externe et met-il ces rapports de contrôle à disposition à des fins d’analyse ? Vos données sont-elles sauvegardées et disponibles à des fins de récupération ? ❑ Certifications de sécurité Le fournisseur dispose-t-il de la(des) certification(s) pour vérifier les contrôles de sécurité ? Destruction des données Vos données sont-elles détruites en toute fiabilité une fois qu’elles ne sont plus utiles ? ❑ Supervision de la sécurité ❑ Contrôle d’accès Qui a accès à vos données ? Avez-vous accès aux outils de sécurité pour superviser la sécurité globale de vos données ? ❑ Gestion de l’activité/des journaux L’accès à vos données est-il tracé, consigné et régulièrement vérifié ? ❑ Procédures d’audit ❑ Réaction aux incidents Des processus et des notifications sont-ils disponibles pour les incidents (dont les violations à la politique de sécurité) qui impactent vos données ? Quels sont les risques encourus et quels outils et procédures d’audit utiliserez-vous pour auditer ces risques ? ❑ Contrôles de sécurité Des mesures de sécurité et de configuration appropriés sont-ils déployés pour protéger vos données ? ❑ Gestion des patchs Les systèmes qui stockent vos données ont-ils été corrigés des derniers exploits et vulnérabilités ? Pour en savoir plus Des milliers d’entreprises dans le monde entier utilisent les solutions SaaS de Qualys pour gérer les risques de sécurité informatique et la conformité. Rendez-vous sur qualys.com pour en savoir plus, assister à des présentations ou demander des versions d’évaluation. A propos de Qualys Qualys, Inc. est le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité en mode SaaS. Déployables en quelques heures seulement partout dans le monde, les solutions à la demande de Qualys fournissent une vue immédiate et permanente de l’état de la sécurité et de la conformité de l’entreprise. Actuellement utilisé par plus de 5000 entreprises dans 85 pays, dont 45 des 100 premières sociétés mondiales du classement Fortune, le service QualysGuard® réalise plus de 500 millions d’audits IP par an. Ayant opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société d’envergure mondiale, Qualys est reconnu comme le chef de file du marché par des analystes de premier ordre. Qualys a été récemment nommé Best Security Company dans la catégorie Récompenses d’excellence lors des SC Awards U.S. 2011. Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, NTT, SecureWorks, Symantec, Tata Communications et TELUS. Qualys est également membre fondateur de l’Alliance CSA (Cloud Security Alliance). Pour de plus amples informations, rendez-vous sur www.qualys.com. Qualys, Inc. - Headquarters 1600 Bridge Parkway Redwood Shores, CA 94065 USA T: 1 (800) 745 4355, info@qualys.com www.qualys.com Qualys is a global company with offices around the world. To find an office near you, visit http://www.qualys.com © Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs. 01/12

×