Mesurer la sécurité des fournisseurs Cloud avec STAR 3
Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.
La certification sécurité Cloud STAR
Cette certification internationale est très répandue chez les fournisseurs CLOUD américains. D’autres systèmes existent en Europe ou dans chaque pays. STAR est une certification à trois niveaux qui peut s’appliquer à tous les services de CLOUD (IaaS, PaaS et SaaS). Les certifications de sécurité Cloud pour les personnes sont aussi de plus en plus demandées, en particulier le CCSP et le CCSK.
STAR est basée sur trois outils maintenus à jour par la CSA (Cloud Security Alliance) :
- La CCM (Cloud Control Matrix), un catalogue de mesures de sécurité adaptées aux environnements Cloud. La CSA a établi une correspondance entre ce catalogue et les référentiels existants dans la profession (ISO 27002, NIST 800-53 ou le référentiel de cybersécurité par exemple).
- Le CAIQ (Consensus Assessments Initiative Questionnaire) découle de la CCM. C’est en quelque sorte la déclaration d’applicabilité que l’on connaît dans les certifications ISO 27 001.
- Le code de conduite de conformité GDPR initié en 2013 pour prendre en compte la protection des données personnelles (passant de la directive européenne 95 au règlement européen actuellement en vigueur). Les codes de conduite et les mécanismes de certification sont un des outils du RGPD que les DPO (Data Protection Officer) utiliseront de plus en plus.
STAR comprend trois niveaux :
- Le premier est une auto-évaluation du fournisseur Cloud. Il doit définir un niveau de conformité à la CCM au travers du CAIQ.
- Le deuxième fait intervenir un auditeur accrédité qui délivre la certification. Elle est basée sur une attestation ISAE 3402 (rapports SOC) ou une certification ISO 27001 complétée par les mesures de sécurité issues de la CCM et d’autres référentiels (ISO 27017 et ISO 27018 en particulier).
- Le troisième correspond à un programme de conformité continu qui demande une interaction entre les fournisseurs et les auditeurs pour produire des indicateurs de sécurité.
Obtenir STAR 3
Ce niveau comprend deux phases. Durant la première, une société accréditée réalise un audit initial de sécurité. La deuxième phase requiert un travail conjoint entre l’auditeur et le fournisseurs Cloud pour développer un système manuel et automatique de tests de sécurité. Ces tests doivent rendre compte de l’atteinte des objectifs de sécurité en termes quantitatifs et qualitatifs. Ils reprennent les notions de SQO (Service Qualitative Objectives) et SLO (Service Level Objectives) décrites dans le référentiel ISO 19086-01. Une fréquence de publication des indicateurs est définie. Cette fréquence peut être adaptée en fonction de la criticité des mesures de sécurité. Des SLO/SQO importants devront être mesurés avec une fréquence plus élevée que des SLO/SQO plus faibles. Le niveau trois est possible aussi bien pour les systèmes basés sur une attestation SOC que sur une certifications ISO 27 001.
Cette idée de renforcer le niveau de confiance par un contrôle continu n’est pas nouvelle. Le SMSI ISO 27001 exige d’ailleurs qu’un système de suivi des objectifs et des indicateurs de sécurité soit formalisé. Mais le niveau trois STAR va plus loin en imposant une remontée des indicateurs vers les auditeurs. Cette idée va dans le bon sens car elle apporte plus de transparence sur le niveau réel de sécurité du fournisseur vis-à-vis de ses clients.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
RGPD, Certifications, STAR, SécuritéCloud, CSA, CCM, ISO27001, ISAE3402