Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Conformité et gouvernance du cloud

Construire un environnement sécurisé dans le cloud est une chose. Mettre en œuvre la conformité et la gouvernance du cloud en est une autre.

Pour assurer la conformité du cloud, il faut souvent aller plus loin que la simple mise en œuvre de mesures de sécurité de base. Vous devez également prouver que votre cloud est conforme aux règles de gouvernance internes ou externes qui s’appliquent à votre entreprise.

Dans cet article, vous parcourrez les grandes lignes de la description de la conformité du cloud, son fonctionnement et la manière d’assurer la conformité dans les trois principaux fournisseurs de services cloud, AWS, Azure et GCP.

Conformité du cloud : de quoi s’agit-il ?

La conformité du cloud consiste en des procédures et des pratiques qui garantissent qu’un environnement cloud est conforme aux règles de gouvernance. Autrement dit, lorsque vous créez un environnement conforme dans le cloud, votre environnement se conforme à un ou plusieurs ensembles spécifiques de normes de sécurité et de confidentialité.

Ces normes pourraient être établies par une agence gouvernementale, comme c’est le cas avec des cadres de conformité tels que le Règlement général sur la protection des données (GDPR) de l’Union européenne ou la Loi californienne sur les droits à la vie privée (California Privacy Rights Act, CPRA). Il peut également s’agir d’une norme industrielle, comme la norme de sécurité PCI DSS relative aux données de l’industrie des cartes de paiement. Ou bien, il peut s’agir de politiques de gouvernance interne qu’une entreprise établit pour elle-même.

Les cadres de conformité qui concernent une entreprise donnée sont déterminés par des facteurs tels que la juridiction dans laquelle votre entreprise opère, l’industrie ou le secteur de l’entreprise, et le nombre d’utilisateurs de l’entreprise. Par exemple, GDPR s’applique à la plupart des entreprises qui traitent des données appartenant ou associées à des résidents de l’UE, quel que soit le secteur d’activité de l’entreprise ou sa présence physique dans l’Union européenne. De son côté, la norme PCI DSS ne concerne que les entreprises qui traitent les paiements.

Chaque cadre de conformité contient un ensemble unique de règles. En général, cependant, les exigences comprennent des principes à respecter tels que la garantie d’une « sécurité raisonnable » pour les workloads, le chiffrement des données sensibles et la preuve que votre organisation effectue des audits réguliers pour identifier et traiter les problèmes de sécurité potentiels.

Conformité du cloud et modèle de responsabilité partagé

Les concepts de conformité et de gouvernance se complexifient un peu plus dans le cloud comparativement à ce qu’ils sont sur site. En effet, les fournisseurs de cloud public fonctionnent selon un modèle de responsabilité partagée. Dans le cadre de ce modèle, les fournisseurs de services cloud sont responsables de la gestion de certains aspects de la sécurité, comme la sécurisation des serveurs physiques qui hébergent les instances de VM et les comptes de stockage. Ils effectuent aussi généralement des audits réguliers de leurs systèmes, comme l’exigent diverses normes de conformité gouvernementales et industrielles.

Cependant, c’est aux utilisateurs finaux qu’incombe la charge de sécuriser la plupart des facettes des ressources qu’ils déploient dans le cloud. Les fournisseurs de services cloud s’attendent à ce que vous vous assuriez que les données que vous chargez dans un compte de stockage soient protégées par des contrôles d’accès, comme l’exigent vos cadres de conformité, par exemple, et que vous sécurisiez l’OS qui s’exécute sur une VM dans le cloud.

En d’autres termes, si les fournisseurs de services cloud répondent à certaines des exigences des cadres de conformité qui concernent votre entreprise, ils ne répondent pas à toutes les exigences. Pour en savoir plus sur ce que votre hébergeur cloud fait et ne fait pas en matière de conformité, consultez la documentation de votre service cloud. AWS, par exemple, a détaillé ses politiques de conformité ici, et Azure les fournit sur cette page. 

Conformité du cloud : fonctionnement

Bien que les spécificités de la conformité du cloud dépendent des types de workloads que vous hébergez dans le cloud et des règles de conformité que votre entreprise doit respecter, la plupart des workflows de conformité au cloud peuvent être décomposés en quelques étapes de base.

  1. Évaluez les besoins en conformité

La première étape consiste à déterminer quelles sont vos exigences de conformité réelles en ce qui concerne vos workloads dans le cloud. La plupart des cadres de conformité décrivent les règles de conformité en termes relativement génériques. GDPR exige une « sécurité raisonnable » pour protéger les données sensibles, par exemple, mais ce texte ne précise pas les outils ou les paramètres exacts que les entreprises doivent mettre en œuvre pour obtenir un tel degré de sécurité.

Cela signifie que c’est à l’entreprise d’évaluer les exigences de conformité et de déterminer comment les traduire en outils et processus spécifiques.

  1. Définissez les règles de conformité

Après avoir déterminé comment votre entreprise va mettre en œuvre les outils et les pratiques nécessaires pour répondre aux exigences de conformité du cloud, vous devez définir des règles spécifiques qui vous aideront à suivre l’application de ces exigences

Par exemple, une règle de conformité du cloud pourrait stipuler que les données des utilisateurs ne doivent jamais être stockées dans votre environnement cloud sous forme non chiffrée. Vous pourriez également établir une règle stipulant que l’accès SSH sera désactivé par défaut en ce qui concerne les VM dans le cloud.

  1. Effectuez des audits de conformité

Après avoir défini les règles de conformité, vous devez effectuer des audits pour vérifier si ces règles sont respectées.

Vous pouvez vous y prendre manuellement, bien sûr, en évaluant les configurations de vos workloads dans le cloud et en déterminant s’ils sont conformes aux règles que vous avez établies.

Reste qu’il est beaucoup plus efficace d’automatiser la conformité en utilisant des outils d’audit à proprement parler. Ces systèmes analysent automatiquement les fichiers de configuration du cloud, les journaux et d’autres sources de données afin de détecter les violations de conformité en fonction des règles que vous avez établies.

Conformité et gouvernance selon le fournisseur de cloud

Si le processus visant à satisfaire aux exigences de conformité et de gouvernance est plus ou moins le même dans tous les types d’environnements cloud, il est utile de savoir quels outils chacun des principaux fournisseurs de cloud propose pour accompagner l’utilisateur final dans cette démarche.

Conformité AWS

Chez AWS, le principal outil visant à garantir la conformité s’appelle Audit Manager. Audit Manager est un service facultatif que les clients d’AWS peuvent utiliser pour collecter des informations dans l’ensemble de leurs environnements et évaluer automatiquement si les configurations des workloads sont conformes à des exigences de conformité spécifiques.

Audit Manager propose des règles préconfigurées pour vérifier la conformité avec les cadres les plus courants, tels que le GDPR et la PCI DSS, mais vous devrez créer des règles personnalisées afin d’appliquer des cadres moins répandus ou un programme de conformité interne.

Plus généralement, vous pouvez utiliser les journaux AWS CloudTrail pour surveiller votre environnement. Toutefois, CloudTrail n’étant pas conçu comme une solution de conformité, ni même comme un outil avancé de surveillance de la sécurité, vous pouvez généralement intégrer les journaux CloudTrail dans un outil d’audit externe afin d’exploiter au mieux les données.

Conformité d’Azure

Contrairement à AWS, Azure ne dispose pas d’outil d’audit centralisé, mais il offre une architecture de journalisation avancée. En configurant et en analysant correctement les journaux Azure, vous pouvez suivre la conformité de votre environnement Azure.

Là encore, n’hésitez pas à utiliser un outil d’audit externe pour tirer le meilleur parti des journaux Azure à des fins de conformité. Les services de surveillance natifs d’Azure, comme Azure Monitor, sont conçus pour aider à gérer les performances et la disponibilité des applications, et non pour assurer la conformité ou automatiser les audits.

Conformité Google Cloud

Google Cloud dispose d’un service de journalisation d’audit que les entreprises peuvent utiliser pour générer des pistes d’audit. Les journaux d’audit enregistrent des informations sur les actions effectuées dans les environnements cloud, le moment où elles ont eu lieu et leur auteur.

La principale limite de la journalisation de l’audit dans Google Cloud est que l’outil ne vérifie pas les configurations de votre workload. Il vous permet simplement de suivre l’activité. Ainsi, vous devrez utiliser des outils externes si vous voulez vous assurer que les règles IAM, les configurations réseau et d’autres parties de votre environnement sont configurées de manière à s’aligner sur vos exigences de conformité.

Les questions de conformité et de gouvernance du cloud peuvent varier considérablement d’une entreprise à une autre, et d’un cloud à un autre, en fonction des cadres de conformité en jeu et des types de workloads que l’entreprise exécute. Reste que toutes les stratégies de conformité du cloud doivent reposer sur l’analyse automatique et continue des fichiers de configuration et des journaux pour détecter les violations de toutes les politiques de conformité qu’une entreprise doit respecter. En détectant rapidement les problèmes, les entreprises peuvent les corriger avant qu’ils n’entraînent des amendes infligées pour non-respect de la conformité ou des brèches de sécurité.