Les certifications individuelles CCSK et CCSP abordent les concepts fondamentaux de sécurisation du Cloud, avec des approches différentes. AWS fait partie avec Azure et OVH des Cloud publics les plus prisés pour les services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Les bonnes pratiques de sécurisation des environnements AWS sont disponibles dans plusieurs référentiels. Chez le fournisseur, on peut commencer par le guide « AWS Security Best Practices » qui bien que disponible en version archivée reste un document de synthèse intéressant. Un guide de durcissement du CIS est aussi téléchargeable gratuitement. Notons à ce sujet, une série d’outils développés dans le langage de script d’AWS pour auditer et mettre en œuvre ces éléments de sécurisation. Enfin le SANS a publié un guide très complet (Cloud Security Practical Guide to Security in the AWS Cloud) écrit par 18 contributeurs et formateurs cyber.
Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).
Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).
Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.
L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.
La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».
L’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité des systèmes d’information. A l’origine SAS 70 remplacé par le standard américain SSAE, et généralisé avec les certifications internationales ISAE 3402, les rapports « SOC » 1, 2 et 3 sont destinés à renforcer la confiance entre le client et son fournisseurs, sur les aspects financiers et sécurité. Ces niveaux de certification trouvent toute leur place dans le cadre des programmes de migrations massives vers les solutions de Cloud Public des groupes publics et privés. L’AICPA a mis au point un nouveau référentiel « SOC for Cybersecurity » que cet article se propose de présenter.
Adopté en 2019, le règlement européen relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications est plus connu sous la dénomination Cybersecurity Act. Ce règlement renforce le rôle de l’ENISA et définit un cadre pour les certifications cybersécurité.
L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « CyberSecurity Act ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.
Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.
Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.
La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.
La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).
Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers, ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.
Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.
L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSKet CSSP.
