CSA

Bonnes pratiques de sécurité Cloud CSA

La Cloud Security Alliance (CSA) est une association internationale très active dans la sécurité du Cloud. A l’origine de la certification STAR destinée aux fournisseurs de services Cloud, la CSA est aussi présente dans le domaine des certifications individuelles : CCSK, CCAK, en partenariat avec l’ISACA et CCSP en partenariat avec l’ISC(2). Les bonnes pratiques de sécurité Cloud publiées par la CSA constituent le document principal du programme de l’examen CCSK, complété par le référentiel des risques Cloud de l’ENISA et la CCM.

La Cloud Control Matrix (CCM)

Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).

Mesurer la sécurité des fournisseurs Cloud avec STAR 3

Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.