Qu'est-ce qu'un cadre de sécurité du cloud ?

Les cadres de sécurité du cloud consistent en des ensembles de lignes directrices, de meilleures pratiques et de contrôles que les entreprises utilisent pour gérer la sécurité de leurs données, applications et infrastructures dans les environnements de cloud computing. Ils offrent une méthode structurée pour identifier les risques et pour mettre en place des mesures de sécurité afin de les atténuer.

Les cadres de sécurité du cloud se focalisent sur les aspects essentiels de la sécurité nécessaire à la satisfaction des exigences de conformité et de gouvernance, tout en privilégiant le maintien de la sécurité plutôt que la simple réalisation de ces objectifs. Certains de ces cadres fournissent les contrôles de sécurité nécessaires pour respecter les normes et réglementations pertinentes en matière de sécurité, mais ils ne sont pas exhaustifs en ce qui concerne la conformité.

Conformité au cloud et cadres de gouvernance du cloud

Bien que similaires, les cadres de sécurité du cloud, les cadres de conformité du cloud et les cadres de gouvernance du cloud remplissent des fonctions distinctes dans les environnements de cloud computing.

Les cadres de sécurité du cloud répondent aux défis de sécurité propres au cloud, notamment les modèles de responsabilité partagée et la facilitation de l'identification et de l'atténuation des risques.

Quant aux cadres de conformité du cloud, ils s'assurent que les entreprises se conforment aux normes légales et réglementaires des services cloud, en se concentrant sur des exigences de conformité spécifiques comme HIPAA, PCI-DSS ou le RGPD. Ils décrivent les contrôles et mesures nécessaires pour assurer la conformité.

Les cadres de gouvernance ont une portée plus étendue et concernent la gestion et la supervision globales des systèmes informatiques, y compris les environnements cloud. Ils définissent des politiques, des procédures et des directives pour la prise de décision, la gestion des risques et la conformité, offrant ainsi un cadre pour garantir que les ressources informatiques sont utilisées de manière efficace et performante.

Bien qu'il existe des chevauchements entre ces trois cadres, chacun remplit une fonction spécifique dans la gestion et la sécurisation des environnements cloud.

cloud-risk-report-executive-summary-cover-fr

Rapport 2023 sur les risques liés au cloud

Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu'en 2024.

Télécharger

Les cadres cloud les plus courants

À mesure que davantage d'entreprises adoptent le cloud computing, garantir la sécurité et la conformité des données et des applications devient de plus en plus difficile. Les cadres de sécurité du cloud fournissent des orientations et des contrôles pour aider les entreprises à détecter les risques et à appliquer des mesures de sécurité afin de les réduire.

Tous les cadres et toutes les exigences associées ne conviennent pas à tous les secteurs. En outre, les entreprises qui adoptent des cadres de conformité réglementaire doivent également respecter ces objectifs pour les applications dans le cloud. Cette section examine les principaux cadres pouvant aider les entreprises à respecter diverses réglementations de sécurité et de confidentialité lors de l'utilisation de services cloud.

En savoir plus

Découvrez comment CrowdStrike peut vous aider à répondre aux exigences de conformité et de certification, garantissant ainsi le fonctionnement sécurisé, optimisé et réglementaire de votre entreprise.CrowdStrike : conformité et certification

Cadres de sécurité du cloud

MITRE ATT&CK

En tant que cadre, MITRE ATT&CK normalise les différentes étapes d'une cyberattaquant. Plutôt que de se concentrer uniquement sur les contrôles, il cible les tactiques et les techniques utilisées par les pirates dans le cloud. Grâce à ce cadre, les entreprises peuvent comprendre les vecteurs d'attaque potentiels, tout en renforçant leur niveau de sécurité dans le cloud grâce à des fonctionnalités de détection et de réponse améliorées.

CIS

Le Center for Internet Security (CIS) est largement reconnu dans le secteur pour ses contrôles et critères de référence standardisés, qui constituent un standard de conformité pour établir une fondation solide en matière de sécurité. Ces critères ont d'abord ciblé les systèmes sur site, mais ils ont évolué pour inclure également les technologies des principaux fournisseurs de services cloud.

La particularité de la norme CIS réside en partie dans le fait qu'elle est le fruit d'un consensus entre praticiens qui s'appuient sur un ensemble de défenses efficaces testées dans des environnements de production, ce qui a permis d'élaborer un ensemble de contrôles plus efficaces.

CSA STAR

Le cadre Security Trust Assurance and Risk (CSA STAR) de la Cloud Security Alliance propose des bonnes pratiques en matière de sécurité du cloud et valide le niveau de sécurité des fournisseurs de services cloud. Le framework lui-même décrit les contrôles de sécurité spécifiques au cloud pour les fournisseurs de services cloud dans le cadre de la Cloud Control Matrix (CCM). En outre, il fournit aux clients qui exécutent des applications sur ces clouds une liste de questions pour s'assurer qu'ils peuvent évaluer leur conformité à la CCM.

ISO/IEC 27017:2015

La norme ISO 27001 comprend des directives qui peuvent aider les clients à mettre en place un cadre pour gérer les risques liés à la protection des données détenues et traitées au sein de l'entreprise.

Cette norme est un cadre destiné aux services cloud. Elle contient des directives concernant les aspects particuliers de la sécurité de l'information dans le cloud. Ces directives s'ajoutent aux conseils fournis par les normes ISO/CEI 27002 et ISO/CEI 27001. Le cadre fournit également des contrôles de sécurité distincts et des conseils de mise en œuvre pour les fournisseurs de services cloud ainsi que pour les applications.

Autres cadres

Les fournisseurs de services cloud ont eux-mêmes publié leurs propres cadres associant des contrôles cloud spécifiques issus d'une multitude de cadres de sécurité et de conformité réglementaire. Il s'agit notamment de cadres tels que la norme sur les meilleures pratiques de sécurité fondamentale AWS et le benchmark de sécurité cloud Microsoft.

Conformité réglementaire et cadres de normes

Règlement général sur la protection des données (RGPD)

Le RGPD est un ensemble complet de réglementations en matière de confidentialité et de protection des données imposées aux entreprises qui traitent les données personnelles des résidents de l'UE. Ce cadre contient des considérations spécifiques sur la sécurité et la protection de la vie privée liées à l'utilisation des services cloud.

Ces contrôles incluent des évaluations d'impact sur la protection des données (DPIA), la préservation des droits des individus sur leurs données, des mesures de sécurité pour la protection des données, et des dispositifs limitant le transfert de données hors de l'UE.

FedRAMP (Federal Risk and Authorization Management Program)

FedRAMP joue un rôle essentiel dans les cadres de sécurité du cloud, surtout pour les fournisseurs de services cloud souhaitant collaborer avec les agences gouvernementales américaines. Ce cadre standardise la façon dont les entités non gouvernementales appliquent les contrôles de sécurité pour garantir leur conformité aux normes gouvernementales en termes d'évaluation, d'autorisation et de surveillance dans le cloud.

En savoir plus

Découvrez comment CrowdStrike propose une solution cloud compatible FedRAMP qui offre une protection inégalée et permet de respecter les normes fédérales les plus strictes. La cybersécurité pour le gouvernement fédéral

ISO 27001

La norme ISO 27001, émise par l'Organisation internationale de normalisation (ISO), constitue l'ensemble de directives internationales de référence pour la normalisation du cycle de vie complet d'un système de gestion de la sécurité de l'information (SGSI). Elle garantit que les entreprises disposent d'une approche structurée pour la gestion des informations sensibles.

La norme ISO 27001 offre aux entreprises des orientations spécifiques sur la sécurité et la confidentialité dans le cloud computing, notamment la réalisation d'évaluations des risques, l'application de contrôles de sécurité et l'amélioration continue des mesures de sécurité.

Standard PCI DSS (Payment Card Industry Data Security Standard)

Contrairement à la plupart des autres normes, la norme PCI DSS est établie par le secteur des cartes de paiement et non par une entité gouvernementale. Cette norme établit des critères fondamentaux pour le traitement sécurisé des données de cartes bancaires par les commerçants et les prestataires de services. Elle décrit en outre les contrôles de sécurité requis pour prévenir les compromissions de données. Cette norme comprend plusieurs éléments clés, comme la définition du champ d'application, la mise en place de contrôles de sécurité, la gestion des fournisseurs de services externes ainsi que la validation de la conformité.

Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)/loi sur les technologies de l'information pour la santé économique et clinique (HITECH Act).

HIPAA et HITECH sont deux lois fédérales américaines visant à assurer la sécurité et la confidentialité des informations personnelles de santé électroniques (ePHI) des patients. Le respect de ces lois est essentiel pour les entreprises de soins de santé afin de garantir la confidentialité, l'intégrité et la disponibilité des ePHI sur site et dans le cloud. Ce cadre intègre une combinaison d'évaluations des risques, de contrôles de sécurité, de mesures de protection de la vie privée, d'accords d'association d'entreprise et de procédures de validation de la conformité.

Sarbanes-Oxley (SOX)

La loi SOX est une loi fédérale américaine qui a créé des exigences en matière d'information financière et de gouvernance d'entreprise. Elle assure l'exactitude et l'intégralité des informations financières des entreprises, en leur imposant de mettre en place et de maintenir des contrôles internes adéquats sur les informations financières.

Les principaux éléments de la loi SOX auxquels les entreprises doivent se conformer comprennent l'évaluation des risques, les activités de contrôle continu, la sécurisation des communications confidentielles et la surveillance des contrôles internes sur les rapports financiers. Ces mesures s'assurent que les entreprises mettent en place des dispositifs adéquats pour détecter et prévenir les fraudes, les erreurs et autres irrégularités financières qui pourraient nuire à la réputation de l'entreprise, à sa stabilité financière et à la confiance du public.

Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA)

Le CCPA est une loi sur la protection de la vie privée similaire au RGPD, mais pour la protection des informations personnelles des résidents californiens. Elle oblige les entreprises à mettre en place des mesures de sécurité raisonnables pour protéger les données à caractère personnel. La conformité nécessite une combinaison de l'inventaire et du mappage des données, de l'évaluation des risques, de la mise en place de contrôles de sécurité robustes, de l'élaboration de plans de réponse à incident et de la gestion de pistes d'audit pour vérifier le respect des politiques.

Loi fédérale américaine sur la modernisation de la sécurité de l'information (Federal Information Security Modernization Act, FISMA)

Le FISMA est une loi américaine qui s'adresse aux agences fédérales dans le but de créer des programmes de sécurité informatique. Cette loi adopte une approche de la protection des données basée sur les risques, en fixant des normes de sécurité minimales que les agences doivent respecter. Elle a pour but de protéger les données et les systèmes d'information fédéraux via cinq éléments clés : la catégorisation de la sécurité, l'évaluation des risques, l'application de contrôles de sécurité, la surveillance continue et la validation de la conformité.

NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection)

Les normes CIP du NERC sont conçues pour protéger le réseau électrique nord-américain contre les cyberattaques. Elles s'appliquent à toutes les entreprises responsables du système électrique de masse (BES), y compris les installations de production, les systèmes de transmission et de distribution, et les services publics d'électricité. Ses principaux éléments sont la gestion des risques, les contrôles de sécurité, les programmes de réponse aux incidents et la validation de la conformité.

NIST CSF (National Institute of Standards and Technology's Cybersecurity Framework)

Le NIST CSF représente un ensemble exhaustif de directives et de bonnes pratiques pour la sécurisation des systèmes basés sur le cloud. Il assiste les entreprises dans l'évaluation et la gestion des risques de sécurité associés au cloud computing à travers ses fonctions clés : identifier, protéger, détecter, répondre et récupérer. Ces piliers comprennent de nombreux contrôles permettant de gérer efficacement les risques de cybersécurité dans un environnement cloud.

En savoir plus

Ce rapport, compilé par Coalfire, l'un des principaux évaluateurs de la conformité, indique en quoi CrowdStrike Falcon® peut assister les organisations dans leurs efforts pour atteindre la conformité aux exigences des normes du NIST (National Institute of Standards and Technology). Télécharger : rapport de conformité de CrowdStrike Falcon® et du NIST

SOC 2 (System and Organization Controls 2)

Le cadre SOC 2, élaboré par l'American Institute of Certified Public Accountants (AICPA), fournit des lignes directrices pour évaluer la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée offerts par les fournisseurs de services cloud.

La conformité SOC 2 implique un audit indépendant des systèmes et des contrôles d'un fournisseur de services cloud afin de s'assurer qu'ils répondent aux exigences de la norme en matière de politiques et de procédures, d'évaluation des risques, de contrôles de sécurité et d'audits indépendants.

CMMC 2.0 (Cybersecurity Maturity Model Certification 2.0)

Le CMMC a été créé par le ministère américain de la Défense (DoD) pour garantir que les entrepreneurs et les fournisseurs qui travaillent avec lui mettent en place des mesures de cybersécurité adéquates. Ce cadre se décline en différents niveaux selon l'étendue des mesures de sécurité prises par les fournisseurs qui ont fait l'objet d'un audit indépendant. Ces niveaux sont appliqués dans les contrats du ministère de la Défense pour empêcher les entreprises n'ayant pas atteint les niveaux de référence requis de participer aux appels d'offres.

Le CMMC 2.0 comprend des exigences spécifiques pour la sécurité du cloud concernant les contrôles de sécurité du cloud, la validation des contrôles par des tiers, la surveillance et la certification de la conformité.

Cadres génériques

D'autres cadres, tels que COBIT 5 et COSO, fournissent des conseils en matière de sécurité, mais ne proposent pas spécifiquement de conseils sur le cloud. Ces cadres étant plus génériques, l'application de leurs conseils en matière de sécurité peut nécessiter quelques modifications pour un environnement cloud. Ils suivent toujours un thème commun, à savoir l'évaluation des risques et des vulnérabilités afin d'établir des bases de contrôle et de satisfaire aux exigences de conformité.

BPG-cover-L10N

Étude de cas : BPG Designs

Les petites et moyennes entreprises (PME) font face à de nombreuses cybermenaces similaires à celles rencontrées par les grandes entreprises, mais elles ne disposent pas toujours des mêmes ressources que ces dernières pour y faire face.Découvrez comment BPG Designs, une des nombreuses PME soutenues par CrowdStrike, a relevé ce défi en faisant appel à nos services.

Télécharger maintenant

Bonnes pratiques

Vous devez veiller à ce que des contrôles adéquats soient mis en place pour respecter les exigences réglementaires lors du choix d'un cadre de sécurité du cloud adapté aux besoins de votre entreprise. Bien que chaque cadre puisse avoir des méthodes uniques pour sécuriser les ressources cloud, il existe certaines bonnes pratiques standard que toutes les entreprises doivent suivre :

  • Établissez une stratégie d'évaluation des risques pour identifier les cybermenaces et les vulnérabilités potentielles, hiérarchiser les efforts de réponse et mettre en place des contrôles de sécurité appropriés pour vous protéger contre les risques.
  • Appliquez des politiques et des procédures afin d'atténuer les risques et de maintenir la conformité aux exigences réglementaires.
  • Mettez en place une surveillance pour faciliter la détection précoce, réagir rapidement aux cybermenaces et minimiser l'impact en arrêtant les cyberattaques avant qu'elles ne prennent de l'ampleur.

Les entreprises doivent constamment revoir leurs pratiques en matière de conformité afin de s'assurer qu'elles sont à jour par rapport à l'évolution de la réglementation et des cybermenaces dans leur secteur d'activité. En mettant en œuvre ces bonnes pratiques, les entreprises peuvent établir un solide cadre de sécurité et de protection des données personnelles pour sécuriser leur environnement cloud et répondre aux exigences de conformité.

Conseil d'expert

Mettez en œuvre ces 16 bonnes pratiques supplémentaires pour vous assurer que votre environnement cloud reste à l'abri des cybermenaces et des vulnérabilités susceptibles de compromettre vos informations confidentielles. Lire : Bonnes pratiques en matière de sécurité du cloud

CrowdStrike vous accompagne pour répondre à vos exigences réglementaires

CrowdStrike reconnaît l'importance des cadres de conformité et de certification pour toute entreprise. Elle peut vous aider à répondre à ces exigences, assurant ainsi à votre entreprise un fonctionnement sécurisé et efficace. Les processus de validation indépendante et d'accréditation sont d'une importance critique pour les organisations ; elles dépendent des capacités et des technologies de CrowdStrike pour sécuriser leurs données et maintenir leur conformité à la réglementation.

Seul CrowdStrike est en mesure d'offrir la détection et la réponse la plus complète au monde dans le domaine du cloud, en appliquant une stratégie de sécurité et une conformité spécifiques aux différents secteurs et réglementations. CrowdStrike Falcon® Cloud Security offre une des meilleures couvertures de détection MITRE ATT&CK, à 99 %, pour les workloads cloud, conteneurs et environnements sans serveur. Elle propose également une solution de Threat Hunting dans le cloud et de détection et intervention managées 24 h/24 et 7 J/7, spécialement conçue pour les workloads et les conteneurs. Ses fonctionnalités CNAPP offrent à la fois une analyse des images des conteneurs avant l'exécution et une protection à l'exécution qui s'intègre pleinement aux données du plan de contrôle. Vous bénéficiez également d'une cyberveille entièrement intégrée, à la pointe du marché, qui vous permet de détecter les cybermenaces et d'y répondre en temps réel.

CrowdStrike Falcon® Cloud Security est la seule plateforme de protection des applications cloud native (CNAPP) du secteur qui offre une visibilité et une sécurité unifiées pour les environnements multicloud et hybrides avec une plateforme unique et un déploiement en un clic. Elle offre des politiques de sécurité cohérentes et contribue à garantir la conformité dans les environnements sur site, hybrides et multicloud.

Profitez d'une évaluation gratuite et sans engagement des risques de sécurité du cloud par CrowdStrike pour votre infrastructure et vos applications cloud, afin de recevoir des conseils adaptés aux besoins spécifiques de sécurité et de conformité de votre application.