Bonnes pratiques de sécurité Cloud CSA

La Cloud Security Alliance (CSA) est une association internationale très active dans la sécurité du Cloud. A l’origine de la certification STAR destinée aux fournisseurs de services Cloud, la CSA est aussi présente dans le domaine des certifications individuelles : CCSK, CCAK, en partenariat avec l’ISACA et CCSP en partenariat avec l’ISC(2). Les bonnes pratiques de sécurité Cloud publiées par la CSA constituent le document principal du programme de l’examen CCSK, complété par le référentiel des risques Cloud de l’ENISA et la CCM.

 

Articulation

Le document de la CSA fournit des bonnes pratiques à toute entité utilisatrice des services SaaS, PaaS et Iaas, que ce soit dans un cadre de Cloud public ou privé. Ce guide est une aide appréciable pour définir une feuille de route pragmatique pour sécuriser ses environnements Cloud. Le guide est articulé en 14 domaines qui couvrent les plans organisationnels, techniques et conformité.

Concepts

Cette partie rappelle les définitions clés du Cloud à partir des référentiels du NIST et de l’ISO : caractéristiques essentielles, acteurs, modèles de déploiement et de services, architectures, répartition des responsabilités entre le fournisseur et le client. La CSA utilise la CCM et le CAIQ pour définir les exigences de sécurité. Les modèles de sécurité s’inspirent aussi de l’ISO 27017.

D’autres référentiels comme TOGAF et SABSA sont aussi abordés.

Gouvernance

Le guide s’appuie sur des référentiels de gouvernance IT comme COBIT et de gouvernance cybersécurité comme l’ISO 27014. Le principal outil de gouvernance est le contrat entre le fournisseur et le client. La gestion des risques reprend les notions fondamentales de l’ISO 31000 et des concepts orientés sur la gestion des risques cyber issus du NIST 800-37, utilisé par les Etats-Unis par exemple pour la conformité des fournisseurs de Cloud FEDRAMP.

Les notions de conformité comportent de multiples aspects qui peuvent être complexes dans le cadre de relations internationales entre les clients et les fournisseurs Cloud. Ces aspects regroupent des éléments divers comme les lois et règlements, par exemple le Cybersecurity Act ou la directive NIS pour l’Europe, le droit des contrats, les traités internationaux, les standards sectoriels comme PCI DSS.

Les audits et la conformité comprennent en particulier les attestations ISAE 3402 et les certifications ISO 27001

La donnée est centrale dans l’approche actuelle de la cybersécurité. Le cycle de vie de la donnée cité en exemple par le guide de la CSA est proposé par Securosis avec ses 6 étapes (création/modification, stockage, utilisation, partage, archivage et destruction). Les outils DLP sont un exemple de mesures de sécurité qui se focalisent sur la donnée.

Opérations

Les bonnes pratiques de gestion de la continuité des activités et les aspects techniques de résilience IT s’appuient sur des référentiels comme l’ISO 22301 et l’ISO 27031 en les adaptant au services Cloud.

La sécurisation des environnements virtualisés dans le Cloud comprend les aspects systèmes, stockage et réseaux. Par exemple, le SDN pour segmenter les réseaux des fournisseurs de Cloud, la sécurisation des environnements de conteneurs en environnement PaaS ou encore l’automatisation de la sécurité dans DevOps.

Les bonnes pratiques de réponse à incidents adaptent des concepts issus de référentiels comme le NIST 800-61 ou la série de normes ISO 27035.

La sécurisation du cycle de développement (Secure SDLC) englobent des bonnes pratiques organisationnels, issus par exemple de la norme ISO 27034 ou du SSDF du NIST et des aspects plus techniques, comme la sécurité des API très nombreuses en environnement Cloud.

L’utilisation du chiffrement et des concepts associés pour chaque catégorie de service Cloud avec des aspects cruciaux comme la gestion des clés, la gestion des identités et des accès, les services de sécurité (WAF as a service par exemple) et les technologies annexes (Big Data, Internet des Objets) sont détaillés dans le domaine opérations.

 

Cloud, CCSK, CSA, CCAK