Définition et objectif

L'objectif principal de la CSA est de promouvoir l'utilisation des meilleures pratiques pour fournir une assurance de sécurité dans le cloud computing et de fournir une éducation sur les usages du cloud computing pour aider à sécuriser toutes les autres formes de calcul. Un de ses résultats les plus notables est le CSA Security Guidance, qui est un ensemble de lignes directrices et de meilleures pratiques pour sécuriser les environnements de cloud computing.

Organe dirigeant

L'organe dirigeant est la Cloud Security Alliance (CSA), une organisation mondiale à but non lucratif.

Dernière mise à jour

Le CSA met fréquemment à jour ses ressources et ses directives en fonction des menaces émergentes, des avancées technologiques et des retours de l'industrie.

S'applique à

Les lignes directrices et les meilleures pratiques fournies par la CSA sont conçues pour être appliquées dans toutes les industries et tous les secteurs qui utilisent ou prévoient d'utiliser des services de cloud computing. Cela inclut (mais n'est pas limité à) les TI, la santé, la finance, l'éducation, le gouvernement, et plus encore.

Contrôles et exigences

L'une des principales ressources de la CSA est la Cloud Controls Matrix (CCM). La CCM fournit un cadre de contrôles qui donne une compréhension détaillée des concepts et des principes de sécurité alignés sur les directives de la CSA dans un ensemble de domaines :

1. Sécurité des applications et des interfaces
2. Audit, assurance et conformité
3. Gestion de la continuité des activités et résilience opérationnelle
4. Contrôle des changements et gestion de la configuration
5. Sécurité des données et gestion du cycle de vie de l'information
6. Sécurité des centres de données
7. Gestion du chiffrement et des clés
8. Gouvernance et gestion des risques
9. Ressources humaines
10. Gestion des identités et des accès
11. Sécurité de l'infrastructure et de la virtualisation
12. Interopérabilité et portabilité
13. Sécurité mobile
14. Gestion des incidents de sécurité, e-discovery et forensic du cloud
15. Gestion de la chaîne d'approvisionnement, transparence et responsabilité
16. Gestion des menaces et des vulnérabilités

Chaque domaine fournit un cadre structuré des meilleures pratiques et des contrôles spécifiques liés à la sécurité du cloud computing.

Veuillez vous référer à la Cloud Controls Matrix officielle pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Le programme STAR (Security Trust Assurance and Risk) de la CSA propose un audit spécifique au cloud pour les fournisseurs de cloud, composé de trois niveaux d'assurance, qui sont :

• Auto-évaluation STAR : Une auto-évaluation fournie par les fournisseurs de cloud.
• Attestation STAR : Une évaluation indépendante tierce de la sécurité d'un service cloud.
• Certification STAR : Une évaluation indépendante tierce rigoureuse de la sécurité d'un service cloud.

La fréquence et la durée de ces audits ou évaluations varieront en fonction du service cloud spécifique, de sa complexité et du niveau d'assurance poursuivi.