Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Comprendre la conformité ISO 27001 pour les containers et le cloud

Et s’il existait une norme mondiale établissant les meilleures pratiques de gestion de la sécurité que chaque organisation devrait suivre, ne serait-ce pas formidable ?

Il s’avère que c’est le cas : il s’agit de la norme ISO 27001, un dispositif international de conformité qui comprend plus de 100 contrôles de sécurité que les organisations doivent suivre lors de la conception et de la gestion des systèmes informatiques.

Cet article explique ce que signifie la conformité à la norme ISO 27001, puis aborde la manière dont elle peut être appliquée aux environnements modernes et natifs du cloud, y compris ceux basés sur des containers.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 est une norme internationale de sécurité de l’information. Elle est définie par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). En raison de la participation de la CEI, la norme est parfois appelée ISO/CEI 270001 plutôt que simplement ISO 27001 ; d’un point de vue pratique, ces termes renvoient à la même chose.

La norme a été publiée pour la première fois en 2005 et a fait l’objet d’une révision majeure en 2013. D’autres révisions, moins importantes, ont eu lieu depuis lors.

Quelles sont les exigences de la norme ISO 27001 ?

L’ISO et la CEI ont publié un certain nombre de documents qui définissent ce qu’implique la conformité à la norme ISO 27001. Vous pouvez les retrouver dans la bibliothèque d’information ISO, qui comprend la publication officielle de l’ISO 27001 elle-même ainsi qu’une variété de documents d’accompagnement.

Toutefois, la version courte de la conformité à la norme ISO 27001 est qu’elle repose sur 14 catégories de contrôles de sécurité :

  1. Politiques de sécurité de l’information : les organisations doivent définir des politiques de sécurité qui s’appliquent à tous les systèmes et actifs qu’elles possèdent ou gèrent.
  2. Organisation de la sécurité de l’information : les organisations doivent mettre en place un cadre spécifique pour l’application des politiques de sécurité de l’information.
  3. Sécurité des ressources humaines : les organisations doivent définir des politiques de sécurité pour les employés, ainsi que pour les parties prenantes extérieures comme les éditeurs et les partenaires.
  4. Gestion des actifs : les organisations doivent gérer systématiquement les actifs qu’elles possèdent et mettre en place des contrôles de sécurité adéquats pour chacun d’entre eux.
  5. Contrôle d’accès : les organisations doivent limiter l’accès au minimum nécessaire pour que les employés puissent faire leur travail.
  6. Cryptographie : les organisations devraient utiliser des techniques cryptographiques comme le chiffrement pour protéger les données sensibles.
  7. Sécurité physique et environnementale : les organisations doivent assurer la sécurité physique de leurs actifs.
  8. Sécurité des opérations : cette famille comprend un certain nombre de politiques et de procédures opérationnelles que les organisations doivent suivre lors de la mise en œuvre des opérations de sécurité.
  9. Secret des communications : les organisations doivent sécuriser les communications réseau.
  10. Acquisition, développement et maintenance de systèmes : la sécurité doit être intégrée dans la gestion du cycle de vie des actifs.
  11. Relations avec les fournisseurs : les organisations doivent exiger des contrôles de sécurité raisonnables de la part de leurs fournisseurs et de leurs chaînes d’approvisionnement.
  12. Gestion des incidents de sécurité de l’information : les organisations doivent mettre en œuvre des procédures efficaces pour répondre aux incidents de sécurité et les signaler.
  13. Aspects de la gestion de la continuité des activités liés à la sécurité de l’information : les organisations doivent établir des procédures pour maintenir la continuité des activités à la suite d’incidents de sécurité.
  14. Conformité : les organisations doivent déterminer quelles exigences réglementaires les régissent et s’assurer qu’elles prennent des mesures pour se conformer à ces lois.

Comme vous le remarquerez en parcourant cette liste, certaines de ces familles de contrôles se concentrent plus que d’autres sur la manière de gérer les ressources informatiques telles que les environnements cloud et de containers. Pour les équipes informatiques et les développeurs, les contrôles ISO 27001 les plus importants sont les numéros 1, 2, 6 et 8 de la liste ci-dessus.

Cela dit, comme tous les contrôles informent sur la manière dont la sécurité informatique est appliquée à l’entreprise dans son ensemble, les parties prenantes techniques devraient se familiariser avec les exigences de la norme ISO 27001 en général, même si des aspects tels que la sécurité des ressources humaines ne sont pas de leur ressort.

Qui doit suivre la norme ISO 27001 ?

La norme ISO 27001 étant une norme internationale définie par des organisations non gouvernementales, elle ne constitue pas un dispositif de conformité réglementaire. Aucune organisation n’est légalement tenue de s’y conformer, et aucune sanction n’est prévue en cas de non-respect des normes ISO 27001.

Toutefois, de nombreuses entreprises choisissent d’utiliser le dispositif ISO 27001 pour définir les meilleures pratiques qu’elles doivent suivre pour gérer la sécurité informatique. Cela permet d’atteindre deux objectifs principaux :

  • Témoigner son engagement en faveur de la sécurité : la capacité à démontrer la conformité à la norme ISO 27001 peut aider les entreprises à prouver à leurs partenaires et à leurs clients qu’elles ont mis en place des contrôles de sécurité de l’information efficaces.
  • Détecter les risques de conformité : les audits de conformité à l’ISO 27001 peuvent aider les organisations à détecter des risques ou des vulnérabilités en matière de sécurité qui déclencheraient des violations de la conformité aux dispositifs réglementaires entraînant des amendes. Si un audit relatif à la norme ISO 27001 volontaire identifie des vulnérabilités, les entreprises peuvent prendre des mesures pour y remédier avant qu’elles n’entraînent des amendes ou des sanctions en vertu d’une loi de conformité réglementaire comme le GDPR ou l’HIPAA.

Mettre en œuvre des contrôles ISO 27001 dans le cloud :

comme la plupart des dispositifs législatifs de conformité, les contrôles ISO 27001 ne définissent pas strictement les outils, processus ou pratiques spécifiques que les entreprises doivent mettre en œuvre pour sécuriser les environnements cloud. Au lieu de cela, ils laissent aux organisations le soin de déterminer comment interpréter les contrôles de sécurité et les appliquer au cloud. Il existe donc de nombreuses approches de la conformité à la norme ISO 27001 dans le cloud, et toutes les entreprises n’utiliseront pas les mêmes pratiques.

Néanmoins, il existe quelques bonnes pratiques générales à prendre en compte pour la conformité à la norme ISO 27001 pour le cloud.

Choisir un fournisseur de services cloud conforme

Avant toute chose, assurez-vous que votre fournisseur de services cloud public est certifié ISO 27001 sur sa propre infrastructure.

Cette étape n’est pas difficile. En général, tous les grands clouds publics sont conformes à la norme ISO 27001, mais il existe quelques nuances. Par exemple, sur AWS, seules des régions spécifiques du cloud sont actuellement certifiées conformes à la norme ISO 27001. Vous pouvez également examiner les rapports d’audit des fournisseurs de cloud (tels que ceux qu’Azure propose ici) pour évaluer dans quelle mesure ils ont démontré leur conformité à la norme ISO 27001.

Utiliser les outils d’audit et de conformité du cloud

Le choix d’un cloud conforme à l’ISO 27001 ne garantit pas la conformité totale à l’ISO 27001 pour les clients, bien sûr. Les fournisseurs de cloud ne peuvent garantir la conformité que pour leur propre infrastructure ou les autres ressources qu’ils gèrent dans le cadre du modèle de responsabilité partagée. La responsabilité de la conformité à la norme ISO 27001 des applications ou des données que les clients déploient dans le cloud incombe aux clients.

Des outils d’audit et de conformité peuvent contribuer à garantir que les workloads déployés par le client sont conformes à la norme ISO 27001. Ces outils analysent automatiquement les environnements cloud et leurs configurations associées, puis évaluent s’ils répondent à des normes de conformité prédéfinies. Les fournisseurs de cloud proposent certains de ces outils, comme Azure Blueprint. Cependant, les outils d’audit externe peuvent s’avérer plus utiles pour les entreprises qui utilisent plus d’un cloud public, ou qui ont un environnement de cloud hybride.

Utilisation de cloud IAM

Les cadres de gestion des identités et des accès dans le cloud (IAM) constituent le principal outil dans les environnements cloud pour mettre en œuvre les contrôles d’accès exigés par la norme ISO 27001. En plus de créer des politiques IAM, les organisations doivent s’assurer qu’elles auditent leurs configurations IAM afin de détecter les oublis qui pourraient créer des risques au niveau du contrôle d’accès.

Chiffrement des données

L’activation du chiffrement des données par défaut est une autre pratique standard pour mettre en œuvre les contrôles de cryptographie définis par la norme ISO 27001. Les approches du chiffrement des données dans le cloud varient d’un type de service cloud à l’autre, mais l’objectif principal doit être de garantir que les données sont toujours cryptées, à moins qu’il n’y ait une raison spécifique pour qu’elles ne le soient pas. Par exemple, si vous utilisez un service de stockage d’objets tel que AWS S3, configurez le chiffrement des données par défaut côté serveur pour vos compartiments de stockage.

Isolement du réseau

Les Virtual Private Clouds et autres abstractions de réseaux virtualisés peuvent contribuer à isoler les workloads au sein du cloud. Cela fournit un autre moyen d’appliquer des contrôles d’accès ainsi que de mettre en œuvre certains des contrôles de sécurité du réseau normés ISO 27001.

Conformité ISO 27001 pour les containers

La norme ISO 27001 n’offre pas non plus de prescriptions spécifiques pour la sécurisation des containers, mais quelques bonnes pratiques générales s’appliquent à un environnement basé sur des containers.

Analyse d’images

L’analyse des images de containers permet de satisfaire aux contrôles de sécurité opérationnelle de la norme ISO 27001, notamment ceux qui concernent la détection des logiciels malveillants.

Journalisation des audits

Les journaux d’audit Kubernetes sont un autre moyen de détecter les vulnérabilités et les risques selon les termes des normes de sécurité opérationnelle ISO 27001.

Contrôle d’accès

En plus d’utiliser des outils IAM dans le cloud pour gérer l’accès aux services cloud, envisagez d’utiliser des contrôles spécifiques aux containers, tels que Kubernetes RBAC et des contextes de sécurité, pour appliquer des contrôles d’accès granulaires au sein des environnements de containers.

Conclusion

Personne n’est légalement tenu de se conformer à la norme ISO 27001, mais atteindre la conformité à la norme ISO 27001 est une bonne pratique pour démontrer l’efficacité des contrôles de sécurité aux partenaires et aux clients, ainsi que pour tuer dans l’œuf les risques de conformité réglementaire. Et si la norme ISO 27001 ne propose pas de directives de sécurité spécifiques pour les environnements de cloud et de containers, il existe un certain nombre d’outils et de pratiques permettant de mettre en œuvre efficacement les contrôles ISO 27001 dans des contextes modernes et natifs du cloud.