Certifications sécurité et Cloud

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

La tendance est à plus de certifications pour prouver un niveau de sécurité. Il s’agit pour le client final de renforcer la confiance qu’il peut accorder à un système dont il n’a pas la maitrise technique complète. La demande vient des clients mais aussi des législateurs et des régulateurs. Par exemple, en France, la réforme de l’agrément de l’hébergement des données de santé impose la mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001. Le référentiel HDS reprend des exigences des normes ISO 27017 (sécurité de l’information dans le Cloud) et ISO 27018 (protection des données à caractère personnel). Autre exemple, le règlement européen pour la protection des données (RGPD) insiste sur l’importance d’initier des chantiers de certifications (voir en particulier les préambules 77, 81, 100, 166, 168, l’article 25 et l’article 42). Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données. Ces certifications comprennent également la certification de personnes (certification des Data Protection Officer par exemple).

Certifications de personnes

  • La certification des personnes consiste à évaluer et à reconnaître formellement les compétences nécessaires à l'exercice d'une activité professionnelle. La norme ISO 17024 encadre les procédures utilisées dans le monde pour délivrer ces certifications individuelles. Deux types de certifications se dégagent pour la sécurité du Cloud :
    • Les certifications généralistes qui abordent les concepts techniques, légaux et organisationnels sans être liées à une solution particulière. Le CCSP proposé par l’ISC(2) et la Cloud Security Alliance est la plus complète. Le programme aborde tous les éléments fondamentaux qu’un professionnel de la sécurité amené à intervenir dans un projet Cloud doit maitriser. Le CCSK, première certification historique de la CSA (voir aussi le CCSK+) est moins détaillée et plus facile à obtenir. Les questions d’examen portent sur les thèmes développés dans le document « Security Guidance », très pragmatique et régulièrement mis à jour.
    • Les certifications individuelles spécialisées, proposées par les fournisseurs Cloud. Citons par exemple la certification AWS (Certified Security - Speciality). Son programme se focalise sur l’architecture et la mise en œuvre des services de sécurité disponibles pour les offres du fournisseur. Des programmes équivalents existent pour Microsoft et Google. Des formations spécialisées existent pour les éléments de sécurité des solutions Open Source (OpenStack par exemple), très présentes dans les PaaS / IaaS (Platform-Infrastructure-as-a-Service) privés.

 Certifications et homologations des fournisseurs Cloud

  • La certification des systèmes d’information des fournisseurs Cloud s’appuie beaucoup sur le SMSI ISO 27001 et sur l’ISAE 3402 (rapports SOC permettant aux clients de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne, englobant la sécurité). A ce sujet, un SOC « cybersécurité » est proposé par l’organisme américain AICPA. D’autres initiatives plus récentes sont à noter. En France, SecNumCloud est un référentiel d’exigences qu’un fournisseur Cloud peut utiliser pour faire partie des prestataires qualifiés. Se voulant international, la CSA STAR est une certification à trois niveaux pour valider un niveau de sécurité d’une solution Cloud. La STAR AUDIT vient de l’Allemagne et est suivi par l’organisation EuroCloud. C5 est est proposé par l'agence de sécurité allemande BSI. D’autres certifications continuent d’émerger. L’équilibre se fait en fonction des deux critères importants : ce que demandent les clients à leurs prestataires, avec quel niveau d’importance et ce qui est imposé par les lois et les règlements sectoriels.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, Cybersécurité, Certifications, CCSP, SOCforCybersecurity, CCSK, STAR, SecumCloud