Questionnaire d’auto-évaluation de la sécurité Cloud
Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.
Articulation
Le questionnaire comprend les catégories suivantes :
- Identifiants des questions.
- Questions d’évaluation.
- Réponses du fournisseur par oui, non ou non applicable. Cette dernière réponse est utilisée dans le cas où la question ne s’applique pas aux services proposés par le fournisseur. Une réponse « non » indique que cette mesure n’est pas mise en œuvre. Dans ce cas le fournisseur doit assigner la mise en œuvre de cette mesure à une partie. En cas de réponse « non », le fournisseur peut aussi décrire pourquoi cette mesure n’est pas implémentée et ce qui a été fait par la partie tierce pour la prendre en compte.
- La description (optionnelle) des conditions dans lesquelles le fournisseur met en œuvre les mesures.
- Un résumé (optionnel) des responsabilités du client pour les mesures qui dépendent de lui.
Un modèle de responsabilité partagée est défini. Plusieurs cas peuvent se présenter :
- Le fournisseur Cloud est responsable.
- Le client est responsable.
- Un sous-traitant du fournisseur est responsable.
- Le client et le fournisseur partagent la responsabilité.
- Le fournisseur et un sous-traitant partagent la responsabilité.
Catégories des questions
Le questionnaire d’autoévaluation suit les domaines et les mesures de sécurité de la CCM.
Source : Cloud Security Alliance
Quelques exemples de questions sont fournis ci-dessous.
Audit.
Est-ce que des audits indépendants sont menés en accord avec les analyses de risques ?
Est-ce qu’un plan de remédiation est défini, documenté, approuvé, communiqué, appliqué et évalué ?
Applications
Est-ce que des stratégies et des moyens sont mis en œuvre pour déployer le code d’une manière sécurisée ?
Est-ce que la remédiation des vulnérabilités est automatisée quand c’est possible ?
Continuité
Est-ce que la documentation est disponible aux parties prenantes autorisées ?
Est-ce que des exercices sont effectués au minimum annuellement et en cas de changement significatif ?
Données
Est-ce que les propriétaires des données à caractère personnel et des données sensibles sont identifiés et documentés ?
Sécurité physique
Est-ce que des systèmes de vidéo protection sur les points d’entrée et de sortie des sites sont en place ?
Chiffrement
Est-ce que des librairies certifiées et approuvées sont utilisées ?
Est-ce que les clés privées sont provisionnées pour un usage unique et gérées comme des secrets cryptographiques ?
Est-ce que des processus et des procédures pour désactiver les clés sont mises en œuvre ?
Gouvernance
Est-ce qu’un programme de sécurité est développé ?
Ressources humaines.
Est-ce qu’il est exigé des employés de signer un contrat de travail contenant des clauses de sécurité avant d’accéder à des données sensibles ?
Est-ce que tous les employés qui accèdent à des données sensibles assistent régulièrement à des séances de sensibilisation à la sécurité ?
Gestion des identités et des accès.
Est-ce que des revues et des revalidations des accès utilisateurs sont menées à des fréquences adaptées aux risques de l’entité ?
Infrastructures
Est-ce que des processus, des procédures et des techniques de défense en profondeur sont mis en œuvre pour détecter des attaques réseaux ?
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
