Un rapport 2023 de Jupiter One a révélé une croissance annuelle de près de 600 % de la surface d'attaque vulnérable du cloud. Plus précisément, les organisations ont constaté une augmentation de 133 % d'une année sur l'autre des cyber actifs et une augmentation de 589 % du nombre de vulnérabilités de sécurité ou de constats non résolus en 2023.

Pour protéger votre entreprise contre les vulnérabilités de sécurité cloud coûteuses qui pourraient entraîner des violations, il est essentiel que vous compreniez et respectiez les exigences de conformité cloud.

Ci-dessous, nous examinerons de plus près ce qu'est la conformité cloud. Ensuite, nous discuterons de l'importance de la conformité à la sécurité cloud et fournirons des conseils pour renforcer votre sécurité cloud.

Qu'est-ce que la conformité cloud ?

La conformité cloud est le processus de respect des normes réglementaires d'utilisation du cloud ainsi que des lois locales, nationales et internationales.

En d'autres termes, pour être conforme au cloud, les services de cloud computing de votre organisation doivent respecter toutes les exigences, y compris :

• Normes de l'industrie comme la norme de sécurité des données du secteur des cartes de paiement (PCI DSS) et la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) pour les organisations de santé
• Lois comme le règlement général sur la protection des données de l'UE (RGPD)
• Toutes les politiques internes de gouvernance qu'une entreprise crée pour atteindre ses objectifs

Examinons de plus près ces composants ci-dessous.

Composants de la conformité cloud

Les exigences de conformité cloud varieront en fonction de votre secteur d'activité et des réglementations qui guident votre entreprise.

Nous examinons ci-dessous les composants qui façonnent la conformité générale au cloud. 

Normes

Certaines industries définissent des instructions spécifiques pour gérer correctement les données dans le cloud. Ce sont ce que l'on appelle les normes de conformité de la sécurité cloud.

Par exemple, l'ISO comprend des contrôles de sécurité spécifiques au cloud au sein de l'ISO 27017 et de l'ISO 27018. Cela signifie la mise en œuvre de contrôles spécifiques de la sécurité de l'information concernant la configuration de votre environnement cloud.

La loi HIPAA spécifie également qu'une entité couverte et son fournisseur de services cloud (CSP) doivent conclure un accord d'association commerciale dans lequel le CSP sera tenu responsable du respect des règles HIPAA.

Lois et réglementations

Les lois et réglementations — aux niveaux mondial, national et étatique — aident également à façonner les exigences de conformité cloud.

Il est important de comprendre les lois et réglementations de votre pays en matière de conformité au cloud, de confidentialité des données, de protection et de localisation des données, et de cybersécurité.

Quelques réglementations courantes incluent HIPAA, PCI DSS et SOX. 

Gouvernance

Les contrôles de gouvernance du cloud aident à gérer les données d'une entreprise dans le cloud et fournissent des politiques de sécurité claires sur la manière d'utiliser (et de ne pas utiliser) le cloud.

Les entreprises doivent avoir des directives sur l'organisation, le partage et le suivi des informations dans le cloud ainsi que sur l'expansion de l'utilisation du cloud. Cela devrait également inclure la propriété et la responsabilité de la stratégie cloud.

Pourquoi la conformité au cloud est-elle importante ?

En 2022, plus de 60 % de toutes les données d'entreprise étaient stockées dans le cloud, soit le double de la quantité stockée dans le cloud en 2015.

Les organisations continuent de déplacer davantage de données et de charges de travail vers le cloud, selon l'étude 2023 Thales Global Cloud Security. Cette année, 27 % des organisations ont indiqué que 60 % ou plus de leurs charges de travail se trouvent dans le cloud, une augmentation par rapport aux 23 % des organisations en 2022.

Avec de plus en plus de données se déplaçant vers le cloud, une entreprise doit comprendre son propre rôle et sa responsabilité pour garantir la sécurité de ces données, y compris atteindre et maintenir la conformité aux exigences du cloud. Cela est essentiel non seulement pour instaurer la confiance des clients, mais aussi pour éviter des violations de données coûteuses.

Dans le rapport IBM 2023 sur le coût d'une violation de données, 82 % de toutes les violations concernaient des données stockées dans le cloud (y compris le cloud public, le cloud privé ou plusieurs environnements). Le coût de ces violations est également généralement plus élevé que la moyenne. Le coût moyen des violations impliquant des données stockées dans plusieurs environnements était de 4,75 millions USD et le coût moyen des violations impliquant des données stockées dans le cloud public était de 4,57 millions USD, soit respectivement 6,7 % et 2,7 % de plus que le coût moyen de toutes les violations de données en 2023.

En bref, la conformité au cloud peut vous aider à récolter les avantages de l'informatique en nuage - rentabilité, sauvegarde et récupération des données, évolutivité - tout en maintenant une posture de sécurité forte.

Défis de conformité au cloud

Bien que les solutions cloud offrent une variété d'avantages, elles présentent également un ensemble unique de défis.

Complexité opérationnelle due aux environnements multi-cloud

L'étude 2023 Thales Global Cloud Security montre qu'un nombre croissant d'entreprises utilisent davantage de fournisseurs de services cloud. Plus des trois quarts (79 %) des répondants de cette année ont plus d'un fournisseur cloud, avec une moyenne de 2,3.

Cela signifie que les organisations sont confrontées à une surface d'attaque accrue et à un potentiel d'erreurs opérationnelles lorsqu'elles sécurisent plusieurs plateformes. Elles doivent également s'assurer que leur environnement cloud de plus en plus complexe est conforme à toutes les exigences applicables. Pour relever ces défis, les organisations peuvent avoir besoin de créer des équipes distinctes pour chaque plateforme qu'elles utilisent, ou de former ou d'agrandir leur équipe de sécurité pour sécuriser plusieurs plateformes en même temps et atteindre la conformité au cloud.

Informatique fantôme et données

L'augmentation de l'utilisation du cloud ouvre également la porte à l'informatique fantôme si les employés utilisent la technologie cloud sans approbation explicite. Ce terme peut sembler effrayant, mais en pratique, l'informatique fantôme peut être aussi simple que l'achat de stockage cloud supplémentaire sans approbation appropriée. Si elle n'est pas contrôlée, l'informatique fantôme peut entraîner la perte de données, une surface d'attaque accrue et une non-conformité.

L'adoption rapide des applications et services cloud augmente également le risque des données fantômes, qui désignent les données sensibles qui ne sont pas suivies ou gérées. Les données fantômes augmentent le risque de non-conformité, en particulier dans les environnements multi-cloud.

Dépendance excessive aux services de sécurité du fournisseur de cloud

Utiliser un fournisseur de services cloud (FSC) bien connu peut également donner aux entreprises une fausse impression de sécurité des données et entraîner des lacunes en matière de conformité.

Prenons par exemple la vulnérabilité de 2021 de l'Azure Cosmos DB. Utilisée par des marques comme Mercedes-Benz et Mars Incorporated, la base de données a subi une grande vulnérabilité qui permettait à un utilisateur de voler la clé d'accès d'un autre. Cette vulnérabilité est restée indétectée pendant deux ans.

Cela montre que Microsoft Azure, comme d'autres FSC bien connus, peut connaître des vulnérabilités - même s'ils disposent d'une longue liste de certifications de conformité. C'est pourquoi il est si important pour les entreprises utilisant des FSC de donner la priorité à leur propre gestion de la sécurité et à la surveillance de la conformité.

11 conseils pour une meilleure conformité cloud

Vous vous demandez comment améliorer vos pratiques de conformité cloud ? Nous proposons huit conseils ci-dessous.

1. Identifier les réglementations et les directives

La première étape pour atteindre la conformité cloud est d'identifier les réglementations et les normes de l'industrie auxquelles votre organisation doit se conformer.

Les cadres de conformité cloud courants incluent :

• ISO 27001
• ISO/IEC 27017
• ISO/IEC 27018
• SOC 2
• NIST
• HIPAA
• PCI DSS
• Loi Sarbanes-Oxley (SOX)
• FedRAMP
• Cloud Controls Matrix de la CSA
• RGPD
• Examen technique fondamental d'AWS

2. Comprendre la responsabilité

De nombreux fournisseurs de cloud comme Amazon Web Services (AWS) définissent des responsabilités spécifiques pour l'utilisation du cloud. AWS utilise le modèle de responsabilité partagée, qui répartit la responsabilité entre AWS et le client.

AWS est responsable de la sécurité de l'infrastructure qui exécute tous les services dans le cloud AWS. Le client est responsable des configurations sécurisées des services cloud utilisés ainsi que de toutes les données du client. Ces dernières peuvent suivre la Révision Technique Fondamentale d'AWS (FTR), un cadre qui inclut certaines de leurs meilleures pratiques et exigences pour réduire les risques liés à la sécurité, la fiabilité et l'excellence opérationnelle.

Le modèle de responsabilité partagée d'AWS conduit de nombreuses entreprises à penser à tort que toute la responsabilité de la conformité incombe à AWS. Ce n'est pas le cas.

La charge de la conformité incombe finalement à l'entreprise car vous êtes responsable des données que vous choisissez de mettre sur le cloud et de la configuration sécurisée des services utilisés.

3. Comprendre les exigences uniques de votre environnement cloud

En plus de la responsabilité partagée en matière de sécurité, le modèle de service et de déploiement d'un environnement cloud affecte la prise en charge des exigences de sécurité. Les services les plus courants sont Infrastructure en tant que Service (IaaS), Plateforme en tant que Service (PaaS) et Logiciel en tant que Service (SaaS). Les modèles de déploiement les plus courants sont public, privé et hybride.

Par exemple, dans un environnement PaaS, l'administrateur est responsable des applications tandis que le fournisseur de services cloud (CSP) est responsable des serveurs physiques, du réseau physique, de l'hyperviseur et des systèmes d'exploitation. La gestion et le contrôle des actifs matériels diffèrent pour les environnements cloud hybrides et publics.

Pour vous assurer de suivre les meilleures pratiques en matière de sécurité et de conformité, vous devez comprendre les risques et les exigences uniques de votre environnement cloud.

4. Assurez un contrôle d'accès approprié

Tout comme les entreprises ont un processus de partage du contrôle d'accès avec les nouveaux employés ou les fournisseurs, vous avez besoin de quelque chose de similaire en ce qui concerne la sécurité du cloud.

Les entreprises doivent établir une politique pour limiter et accorder l'accès à leur environnement cloud, leurs réseaux, leurs instances et les données stockées dans celui-ci. Vous pouvez également introduire des règles d'accès basées sur les besoins et des dates d'expiration pour vous aider à suivre qui a accès et pour combien de temps. S'assurer de qui a accès à votre réseau et comment le trafic circule au sein du réseau est crucial pour un contrôle d'accès approprié et pour garantir que le principe du moindre privilège et de la moindre fonctionnalité a été mis en œuvre.

5. Classifiez vos données.

En ce qui concerne le stockage des données sur le cloud, il est important de connaître l'emplacement des serveurs car de nombreuses réglementations exigent que les serveurs résident aux États-Unis.

Une fois que vous avez choisi un fournisseur de services cloud, vous devez déterminer quels types de données vous souhaitez stocker dans le cloud. Vous pouvez le faire en classifiant vos données.

La classification des données est le processus de tri des données en différentes catégories. Cela aide les entreprises à gérer, sécuriser et stocker plus facilement leurs données.

En tant que meilleure pratique générale, les données hautement confidentielles ou sensibles devraient rester sur un réseau interne plutôt que de migrer vers le cloud.

6. Chiffrez toutes les données sensibles présentes dans le cloud

Selon l'étude 2023 de Thales sur la sécurité des données dans le cloud, la majorité (60%) des entreprises échouent encore à chiffrer la moitié des données sensibles qu'elles stockent dans le cloud, malgré le fait que 39% d'entre elles révèlent avoir subi une violation de données dans leur environnement cloud l'année dernière.

Bien que ce chiffre constitue une amélioration par rapport à l'étude de l'année dernière, qui rapportait que 83% échouaient à chiffrer plus de la moitié de leurs données sensibles dans le cloud, il reste encore une marge d'amélioration significative — surtout si l'on considère que seulement 2% des répondants ont déclaré que toutes leurs données sensibles dans le cloud sont chiffrées.

Le chiffrement, à la fois au repos et en transit, est essentiel pour protéger les données sensibles qui doivent exister sur le cloud. Le chiffrement des données vous aide également à répondre à la plupart des exigences de conformité telles que PCI DSS et RGPD.

Votre fournisseur de cloud peut offrir des services de chiffrement, mais n'oubliez pas qu'il est toujours de la responsabilité de l'entreprise de protéger les données lorsqu'elles sont déplacées et stockées.

7. Utilisez une plateforme qui peut être votre source de vérité en matière de conformité

Utiliser une plateforme qui offre visibilité et contrôle sur toutes vos données de conformité, même si elles sont réparties dans un environnement cloud hybride, peut considérablement simplifier la conformité au cloud. Secureframe, par exemple, peut s'intégrer et collecter des données de nombreux systèmes basés sur le cloud qui stockent ou possèdent des données de conformité pertinentes. Elle teste ensuite ces données pour valider que des contrôles sont en place et fonctionnent efficacement dans votre environnement. Par exemple, disons que vous stockez des données sur AWS. Ensuite, en utilisant les tests de Secureframe, vous pouvez voir en un coup d'œil si les instantanés RDS sont configurés pour activer le chiffrement au repos dans toutes vos bases de données sur AWS et corriger celles qui ne passent pas.

Ce type de visibilité et d'automatisation vous permet de protéger plus facilement et rapidement les données et de prendre des mesures correctives pour corriger les mauvaises configurations ou les problèmes de conformité dans les bases de données, applications et services déployés dans un environnement cloud hybride.

8. Effectuez des audits internes réguliers

L'une des meilleures façons de découvrir des lacunes et vulnérabilités en matière de sécurité est de réaliser régulièrement des audits de sécurité internes.

Réexaminez votre conformité cloud pour vous assurer qu'elle est en accord avec les exigences réglementaires. Il est également bon de suivre les mises à jour des exigences réglementaires afin de pouvoir effectuer des ajustements de manière proactive.

9. Comprenez votre accord de niveau de service et votre contrat juridique de fond en comble

En termes simples, les accords de niveau de service (SLA) définissent les règles de base et les attentes qu'une entreprise a envers le fournisseur de services cloud auquel elle choisit de confier ses données.

Un SLA doit être très clair sur les rôles et responsabilités, l'exécution de la réponse aux incidents et la remédiation des violations de données. Tout dans le SLA doit être conforme aux réglementations régissant votre entreprise.

Votre SLA doit également servir de guide pour gérer les problèmes, qu'ils soient attendus ou non.

Un contrat juridique est une autre pièce importante de votre sécurité cloud. Il doit mettre en évidence la responsabilité, ainsi que les divulgations de violations et les délais de réponse aux incidents.

10. Utilisez l'automatisation pour réduire le potentiel d'erreur humaine et de mauvaise configuration

Dans l'étude Thales Global Cloud Security Study de 2023, plus de la moitié (55%) des répondants ont déclaré que des erreurs humaines avaient déclenché des violations de données cloud dans leurs organisations. Utiliser l'IA et des workflows automatisés pour simplifier et rendre la protection des données plus gérable dans le cloud est un moyen de relever les défis des erreurs humaines et des mauvaises configurations.

L'IA de remédiation Comply de Secureframe, par exemple, aide les clients à remédier rapidement et facilement les mauvaises configurations cloud. Utilisant l'infrastructure as code (IaC), l'IA de remédiation Comply génère automatiquement des conseils de remédiation adaptés à l'environnement cloud des utilisateurs afin qu'ils puissent facilement mettre à jour le problème sous-jacent causant la configuration défaillante dans leur environnement. Cela élimine le travail manuel d'écriture de code, réduisant le risque d'erreur humaine et améliorant la précision lors de la correction des mauvaises configurations.

11. Exploitez les capacités de surveillance continue

Les capacités de surveillance continue incluent des alertes automatisées pour les non-conformités, les échecs de tests et les incidents de sécurité dans vos environnements cloud. Utiliser un outil d'automatisation avec ces capacités peut empêcher votre organisation de ne plus être conforme aux exigences cloud, même si les réglementations et les technologies évoluent.

Fournisseurs de sécurité cloud et leurs offres de conformité

Les principaux fournisseurs de plateformes cloud offrent des outils pour aider leurs clients à répondre aux exigences de conformité et à sécuriser leurs ressources cloud. Nous allons explorer ci-dessous les offres de conformité des trois principaux fournisseurs de services cloud (CSP) afin de vous aider à trouver la meilleure solution pour votre entreprise et vos besoins en matière de conformité cloud.

Conformité Cloud AWS

Pour AWS, le modèle de responsabilité partagée stipule que les clients sont responsables de la sécurité dans le cloud, tandis qu'AWS est responsable de la sécurité du cloud. Ainsi, AWS sécurise les hôtes physiques, le stockage et le réseau, tandis que les clients sécurisent leurs propres données et applications.

Pour aider les clients, AWS propose les offres de conformité suivantes :

• Soutient les normes de sécurité et les certifications de conformité PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-171 et AWS FTR.
• Fournit Audit Manager en tant que service optionnel pour les clients AWS afin d'évaluer automatiquement si les configurations de charges de travail sont conformes à des exigences spécifiques, telles que le GDPR et PCI DSS.
• Offre des services de surveillance d'activité qui détectent les changements de configuration et les événements de sécurité dans votre système

Conformité Cloud Azure

Pour Azure, le modèle de responsabilité partagée est plus complexe. Le client est toujours responsable des données, des dispositifs, des comptes d'utilisateurs et des identités, tandis qu'Azure est toujours responsable des hôtes physiques, du stockage et du réseau. Mais il y a une autre catégorie, y compris les applications, les contrôles réseaux et les systèmes d'exploitation. La responsabilité de cette catégorie dépend de si le service est SaaS, PaaS ou IaaS.

Pour aider les clients, Azure propose les offres de conformité suivantes :

• Fournit des offres de conformité adaptées à des industries clés comme la santé, le gouvernement et les médias
• Offre une gamme d'options d'audit et de journalisation de la sécurité pour aider à identifier les lacunes dans vos politiques et mécanismes de sécurité
• Inclut Azure Blueprints pour regrouper des modèles, des contrôles d'accès basés sur les rôles et des politiques pour créer ou mettre à jour des environnements conformes

Conformité Cloud Google

Pour Google, le modèle de responsabilité partagée est encore plus complexe car il détaille si le client ou Google est responsable de la sécurisation de chaque catégorie majeure, y compris le contenu, les politiques d'accès et le matériel, en fonction de leur type de service.

Pour aider les clients, Google propose les offres de conformité suivantes :

• Offre Assured Workloads pour que les clients puissent appliquer des contrôles de sécurité à leur environnement cloud afin de répondre aux exigences de conformité
• Inclut Cloud Audit Logs pour aider à surveiller les données et systèmes de Google Cloud afin de détecter d'éventuelles vulnérabilités ou une mauvaise utilisation externe des données
• Fournit des plans de sécurité avec les recommandations de sécurité de Google activées par défaut pour vous aider à déployer et maintenir des solutions sécurisées

Comment Secureframe peut vous aider à surveiller et à maintenir la conformité cloud

Gérer votre conformité cloud ne doit pas être compliqué.

Secureframe vous aide à surveiller et à maintenir la conformité cloud en se connectant à votre infrastructure cloud, y compris AWS, Azure et Google Cloud. Nos intégrations API et de données scannent continuellement votre environnement cloud et fournissent des conseils de remédiation précis et adaptés afin que vous puissiez corriger les contrôles défaillants et remédier aux risques cloud plus rapidement.

Planifiez une démo aujourd'hui pour découvrir comment Secureframe peut vous aider à gérer la conformité cloud.

Ce post a été publié pour la première fois en mars 2022 et a été mis à jour pour plus d'exhaustivité.