La Cloud Control Matrix (CCM)
Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).
Standard CCM
Ce catalogue à l’instar de la norme ISO 27002, complétée par ISO 27017 pour les certifications ISO 27001 ou du catalogue du NIST 800-53 pour les homologations FedRamp propose des mesures standardisées pour sécuriser un environnement Cloud, public ou privé. Régulièrement mis à jour par la Cloud Security Alliance, le standard dans sa version 4 comprend les domaines suivants :
- Audit et assurance : A&A 1 à 6.
- Sécurité des applications et des interfaces : AIS 1 à 7.
- Continuité des activités et résilience opérationnelle : BCR 1 à 11.
- Changements et des configurations : CCC 1 à 9.
- Cryptographie et gestion des clés : CEK 1 à 21.
- Sécurité du datacenter : DCS 1 à 15.
- Sécurité des données et des traitements : DSP 1 à 19.
- Gouvernance, risques et conformité : GRC 1 à 8.
- Ressources humaines : HRS 1 à 13.
- Gestion des identités et des accès : IAM 1 à 16.
- Interopérabilité et portabilité : IPY 1 à 4.
- Sécurité des infrastructures et virtualisation : IVS 1 à 9, voir par exemple la sécurisation des environnements de conteneurs.
- Logs et supervision : LOG 1 à 13.
- Gestion des incidents de sécurité et investigations : SEF 1 à 8.
- Gestion des sous-traitants et responsabilités : STA 1 à 14.
- Gestion des menaces et des vulnérabilités : TVM 1 à 10.
- Gestion des outils utilisateurs : UEM 1 à 14.
Le standard CCM établi une correspondance avec d’autres standards ISO, AICPA ou COBIT par exemple.
Lien avec le CAIQ
Le questionnaire d’autoévaluation utilisé pour le niveau 1 de la certification STAR est le CAIQ. Il permet de documenter les mesures de sécurité pour des services IaaS, PaaS ou SaaS. Il fournit des questions fermées, oui/non qu'un auditeur peut utiliser pour détailler pour vérifier le niveau de conformité à la matrice CCM. La Cloud Security Alliance propose aussi la certification CCAK pour les auditeurs Cloud.
La matrice CCM est aussi utilisé par le catalogue allemand C5.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :