Centre de sécurité et de conformité AWS

Amazon Web Services (AWS) fournit une plate-forme d'informatique en nuage hautement évolutive, dotée de la disponibilité, sécurité de fonctionnement et flexibilité nécessaires aux clients pour créer une vaste gamme d'applications. Afin de fournir une sécurité et une confidentialité de bout en bout, AWS crée des services conformes aux meilleures pratiques de sécurité; AWS fournit les caractéristiques de sécurité appropriées à ces services et fournit les documents qui permettent de savoir comment utiliser ces caractéristiques. De plus, les clients AWS doivent utiliser ces caractéristiques et les meilleures pratiques pour concevoir un environnement d'application approprié en termes de sécurité. Permettre aux clients de s'assurer la confidentialité, l'intégrité et la disponibilité de leurs données est de la plus grande importance pour AWS, comme l'est l'entretien de la confiance.

AWS fournit une grande variété concernant son environnement informatique aux clients par le biais de livres technique, rapports, certifications et autres attestations de tierces parties. Ces informations aident les clients à comprendre les contrôles en place liés aux services AWS qu'ils utilisent et comment ces contrôles ont été validés par des auditeurs indépendants. Ces informations assistent aussi les clients dans leurs tentatives de justifier et de valider que les contrôles fonctionnent efficacement dans leur environnement IT étendu.

Cette page contient les catégories d'informations suivantes. Cliquez pour aller en bas de page :

Présentation

À un niveau élevé, nous avons suivi l'approche suivante pour sécuriser l'infrastructure AWS :

  • Rapports, certifications et attestations indépendantes. AWS a, dans le passé, démontré sa réussite lors de plusieurs audits SAS70 Type II, et publie aujourd'hui un rapport SOC 1 (Service Organization Controls 1) de Type 2, conforme aux normes professionnelles SSAE 16 et ISAE 3402, ainsi qu'un rapport SOC 2. De plus, AWS a obtenu la certification ISO 27001 et a été récemment validé comme prestataire de services de niveau 1 conformément à la norme PCI DSS (Payment Card Industry Data Security Standard). Dans le domaine des certifications du secteur public, AWS a reçu l'agrément d'exploitation FISMA de niveau modéré de la part de l'Administration américaine des services généraux. AWS représente également la plate-forme des applications agréées dans le cadre du programme DIACAP (Defense Information Assurance Certification and Accreditation Program, programme d'accréditation et de certification pour la garantie des informations de la défense). Nous continuerons à obtenir les certifications de sécurité appropriées et à conduire des audits pour démontrer la sécurité de notre infrastructure et de nos services. Pour plus d'informations sur les risques et conformités d'activités dans le nuage AWS, consultez le livre technique Amazon Web Services : Risque et conformité.
  • Sécurité physique. Amazon a plusieurs années d'expérience dans la conception, l'élaboration et le fonctionnement de centre de données à grande échelle. L'infrastructure AWS est hébergée par les centres de données contrôlés par Amazon à travers le monde entier. Seuls ceux au sein d'Amazon qui ont une activité légitime ont besoin de savoir des informations telles que l'emplacement véritable de ces centres de données, et les centres de données eux-mêmes sont sécurisés au moyen de diverses contrôles physiques afin d'empêcher un accès non autorisé.
  • Services sécurisés. L'architecture de chacun des services à l'intérieur du nuage informatique AWS est conçue pour être sécurisée et contient de nombreuses capacités qui restreignent l'accès ou l'usage non autorisé sans sacrifier la flexibilité que les clients exigent. Pour plus d'informations au sujet des capacités en termes de sécurité de chaque service dans le nuage AWS, consultez le document de présentation technique Amazon Web Services : présentation des processus de sécurité.
  • Confidentialité des données. AWS permet aux utilisateurs de crypter leurs données personnelles ou professionnelles à l'intérieur du nuage informatique et publie des procédures de sauvegarde et de redondance pour les services pour que les clients puissent mieux comprendre comment leurs données circulent à travers AWS. Pour plus d'informations au sujet de la confidentialité des données et des procédures de sauvegardes pour chaque service dans le nuage AWS, consultez le document de présentation technique Amazon Web Services : présentation des processus de sécurité, référencé ci-dessus.

Le centre de sécurité AWS fournit des liens vers les informations techniques, des outils et des directives normatives de prescription conçus pour vous aider à créer et à gérer des applications sécurisées dans le nuage informatique AWS. Notre objectif est d'utiliser ce forum pour envoyer des notifications aux développeurs de façon proactive en ce qui concerne les bulletins de sécurité. Une telle transparence est le réseau fédérateur de la confiance entre AWS et nos clients.

haut

Certification et accréditations

SOC 1/SSAE 16/ISAE 3402

Amazon Web Services publie maintenant un rapport de Service Organization Controls 1 (SOC 1), Type 2. L'audit pour ce rapport est conduit en accord avec les normes professionnelles Statement on Standards for Attestation Engagements No. 16 (SSAE 16) et International Standards for Assurance Engagements No. 3402 (ISAE 3402). Ce rapport à double norme peut répondre à une grande variété d'exigences d'audit pour les organismes d'audit internationaux et Américains. L'audit de rapport SOC 1 atteste que les objectifs de contrôle d'AWS sont conçus de manière appropriée et que les contrôles individuels définis pour protéger les données du client opèrent efficacement. Notre engagement au rapport SOC 1 est continu et nous prévoyons de poursuivre notre procédure d'audits périodiques. Cet audit est le remplaçant du rapport Statement on Auditing Standards No. 70 (SAS 70) Type II.

SOC 2

En plus du rapport SOC 1, AWS publie un rapport SOC 2 (Service Organization Controls 2), Type 2. A l'instar du SOC 1 en matière d'évaluation des contrôles, le rapport SOC 2 est une attestation qui développe l'évaluation des contrôles par rapport aux critères stipulés par l'AICPA (American Institute of Certified Public Accountants) dans ses principes sur les services de confiance (« Trust Services Principles »). Ces principes définissent des contrôles portant sur les pratiques majeures par rapport à la sécurité, à la disponibilité, à l'intégrité de traitement, à la confidentialité et au respect de la vie privée, et s'appliquent aux prestataires de services tels qu'AWS. Le rapport AWS SOC 2 évalue la conception et l'efficacité des contrôles qui répondent aux critères des principes de sécurité stipulés dans les Trust Services Principles de l'AICPA. Ce rapport renforce la transparence de la sécurité chez AWS, laquelle repose sur une norme prédéfinie de pratiques d'excellence dans le secteur, et démontre, une fois de plus, l'engagement d'AWS à protéger les données de ses clients.

FISMA de niveau modéré

AWS permet aux clients des agences gouvernementales américaines d'agir en conformité avec le Federal Information Security Management Act (FISMA). FISMA requiert que les agences fédérales développent, documentent et implémentent un système de sécurité d'information pour ses données et son infrastructure basée sur la norme National Institute of Standards and Technology Special Publication 800-53, Revision 3. La Moderate Authorization et Accreditation FISMA requiert qu'AWS implémente et opère un ensemble étendu de configuration et de contrôles de sécurité. Ceci comprend la documentation des procédures de gestion, d'opération et techniques utilisées pour sécuriser l'infrastructure physique et virtuelle, ainsi que l'audit par un tiers des procédures et contrôles établis. AWS a reçu l'agrément d'exploitation FISMA de niveau modéré pour l'IaaS (Infrastructure-as-a-Service) de la part de l'Administration américaine des services généraux. AWS a également obtenu avec succès d'autres agréments d'exploitation FISMA de niveau modéré, en travaillant en collaboration avec les agences gouvernementales pour certifier leurs applications et leurs charges de travail.

PCI DSS Niveau 1

AWS a atteint une conformité PCI Niveau 1. Nous avons obtenu avec succès une validation de fournisseur de service Niveau 1 sous Payment Card Industry (PCI) Data Security Standard (DSS). Les vendeurs et les autres fournisseurs de service peuvent maintenant exécuter leurs applications sur notre infrastructure de technologie conforme PCI pour stocker, traiter et transmettre des informations de cartes de crédit dans le nuage. Les autres entreprises peuvent aussi bénéficier de l'exécution de leurs applications sur un autre infrastructure de technologie conforme PCI. Les services validés par PCI incluent Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) et Amazon Virtual Private Cloud (VPC), Amazon Relational Database Service (RDS), Amazon Elastic Load Balancing (ELB), Amazon Identity and Access Management (IAM), ainsi que l'infrastructure physique sous-jacente et l'environnement de gestion AWS.

Pour plus d'information, veuillez visiter notre FAQ PCI DSS Niveau 1.

ISO-27001

Sceau CertifyPointAWS a atteint la certification ISO 27001 pour notre Information Security Management System (ISMS) couvrant notre infrastructure, centres de données et services incluant Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Virtual Private Cloud (Amazon VPC). ISO 27001/27002 est une norme de sécurité mondialement reconnue qui établit des exigences et des meilleures pratiques pour une approche systématique de la gestion des informations d'entreprises et de clients, basée sur des évaluations du risque périodiques. Afin d'atteindre cette certification, une entreprise doit démontrer qu'elle dispose d'une approche systématique et constante pour gérer les risques de sécurité d'information qui affectent la confidentialité, l'intégrité et la disponibilité des informations d'entreprises et des clients. Cette certification renforce l'engagement d'Amazon de fournir une transparence sur nos contrôles de sécurité et nos pratiques. La certification ISO 27001 d'AWS s'applique à tous les centres de données AWS dans toutes les régions du monde ; en outre, AWS a établi un programme officiel pour conserver sa certification. Un exemplaire de notre certificat ISO, disponible pour les clients AWS, décrit les services ISMS ainsi que leur portée géographique.

Pour en savoir plus, consultez notre FAQ sur la certification ISO 27001.

Conformité International Traffic In Arms

La région AWS GovCloud (US) supporte la conformité US International Traffic in Arms Regulations (ITAR). Dans le cadre de la gestion d'un programme de conformité ITAR complète, les compagnies sujettes aux réglementations d'exportation ITAR doivent contrôler les exportations involontaires en limitant l'accès aux données protégées aux personnels des USA et en limitant l'emplacement physique des données sur le territoire des USA. AWS GovCloud (US) fournit un environnement situé physiquement aux Etats-Unis et où l'accès par le personnel AWS est limité aux personnels des USA, permettant de fait aux compagnies qualifiées de transmettre, traiter et stocker des articles et des données protégés sous ITAR. L'environnement d'AWS GovCloud (US) a été audité par une tierce partie pour valider que les contrôles appropriés sont en place pour supporter les programmes de conformité d'exportation du client pour cette exigence.

FIPS 140-2

La publication Federal Information Processing Standard (FIPS) 140-2 est une norme de sécurité du gouvernement des USA qui spécifie les exigences de sécurité pour les modules cryptographiques protégeant les informations sensibles. Pour prendre en charge les clients devant respecter la norme FIPS 140-2, les points de terminaison du VPN Amazon Virtual Private Cloud et SSL dans AWS GovCloud (US) fonctionnent à partir de matériel agréé pour FIPS 140-2. AWS travaille en collaboration avec les clients d'AWS GovCloud (US) afin de leur fournir les informations dont ils ont besoin pour gérer leurs exigences de conformité par rapport à leur utilisation de l'environnement AWS GovCloud (US).

Autres initiatives de conformité

La flexibilité et le contrôle client fournis par la plate-forme d'AWS permettent de déployer des solutions qui satisfont les exigences de certification propres à l'industrie.

  • HIPPA : les clients ont construit des applications pour le secteur de la santé qui sont conformes aux règles de confidentialité et de sécurité HIPPA sur AWS. AWS fournit des contrôles de sécurité que les clients peuvent utiliser pour sécuriser des dossiers sanitaires électroniques. Consultez le livre blanc relatif à ce sujet (lien ci-après).
  • CSA : AWS a rempli le questionnaire Consensus Assessments Initiative (initiatives d'évaluation du consensus) mis au point par la Cloud Security Alliance (CSA). Ce questionnaire permet de référencer et de documenter les contrôles de sécurité existants dans l'offre IaaS (Infrastructure-as-a-Service) d'AWS. Il se compose d'environ 140 questions pouvant être soulevées par un auditeur ou un client à l'égard d'un prestataire de solutions d'informatique en nuage. Les clients peuvent trouver ce questionnaire complété en annexe A du livre blanc AWS Risk and Compliance
  • MPAA : La MPAA (Motion Picture Association of America) a établi un ensemble de bonnes pratiques pour stocker, traiter et diffuser de manière sécurisée du contenu et des données multimédia protégés. Les entreprises du secteur des multimédia utilisent ces bonnes pratiques pour évaluer les risques, mais aussi auditer leur contenu et leur infrastructure. AWS a commandité une évaluation indépendante de sa conformité par rapport aux bonnes pratiques établies par la MPAA et a obtenu le niveau de maturité le plus élevé, indiquant que l'infrastructure AWS est conforme à tous les contrôles d'infrastructure MPAA applicables et ce, pour tous les services AWS concernés. Bien que la MPAA ne décerne pas de certification à proprement parler, les entreprises du secteur des multimédia peuvent se baser sur ce rapport pour effectuer leur propre évaluation des risques et un audit du contenu de type MPAA sur AWS.

haut

Informations de second plan

Livrer une plate-forme informatique en nuage sécurisée implique d'implémenter de nombreuses meilleures pratiques pour une infrastructure sur site ainsi qu'un hébergeur de considérations supplémentaires uniques vers un environnement d'infrastructure hébergé. Le document de présentation technique Amazon Web Services : Présentation des processus de sécurité fournira des informations de second plan et une présentation de la philosophie AWS en offrant une plate-forme informatique en nuage sécurisée.

haut

Sécurité Caractéristiques

AWS vous fournit plusieurs solutions pour vous identifier et accéder de manière sécurisée à votre compte AWS, les services AWS auxquels vous vous êtes inscrit, et les ressources hébergées par ces services. Vous pouvez trouver la liste complète des certificats que nous supportons sur la page Certificats de sécurité dans Mon Compte. Nous fournissons aussi des options de sécurités additionnelles qui vous permettent de protéger davantage votre compte AWS et de contrôle les accès : AWS Identity and Access Management (IAM), Multi-Factor Authentication (MFA), et Rotation de clé.

AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) vous permet de créer des utilisateurs multiples et de gérer les permissions pour chacun de ces utilisateurs dans votre compte AWS. Un utilisateur est une identité (dans votre compte AWS) avec des justificatifs uniques de sécurité qui peuvent être utilisés pour accéder aux ressources AWS. L'IAM élimine le besoin de partager des mots de passe ou des clés d'accès et facilite l'activation ou la désactivation de l'accès d'un utilisateur selon le besoin.

L'IAM vous permet d'implémenter les meilleures pratiques, telles que moins de privilège, en assignant des justificatifs de sécurité uniques à chaque utilisateur dans votre compte AWS et d'autoriser seulement les permissions dont les utilisateurs ont besoin pour accéder aux ressources AWS requises pour qu'ils accomplissent leurs travail. IAM est sécurisé par défaut¬; les nouveaux utilisateurs n'ont pas accès à AWS tant que les permissions ne sont pas explicitement accordées.

L'IAM vous permet de minimiser l'utilisation des justificatifs de votre compte AWS. À la place, toutes les interactions avec les ressources AWS doivent avoir lieu dans le contexte de IAM des justificatifs de sécurité d'utilisateur. Pour en savoir plus sur AWS Identity and Access Management (IAM) visitez notre page IAM.

AWS Multi-Factor Authentication (AWS MFA)

AWS Multi-Factor Authentication (AWS MFA) est une couche supplémentaire de sécurité qui offre un contrôle renforcé sur vos paramètres de comptes AWS ainsi que sur les ressources AWS auxquelles votre compte est inscrit. Lorsque vous activez cette fonction facultative, vous devez indiquer un code à six chiffres à utilisation unique en plus des justificatifs standard que sont votre nom d'utilisateur et votre mot de passe, pour que l'accès vous soit autorisé. Ce code à utilisation unique est créé par un outil d'authentification ou une application spéciale sur un téléphone portable que vous conservez en votre possession. Cette opération est appelée authentification multifactorielle (MFA, Multi-Factor Authentication) parce que deux facteurs sont vérifiés avant que l'accès soit autorisé à votre compte : vous devez fournir à la fois votre identifiant email et votre mot de passe AWS (le premier « facteur » : quelque chose que vous connaissez) et le code généré à partir de votre système d'authentification (le second « facteur » : quelque chose que vous détenez). L'authentification multifactorielle peut être activée pour votre compte AWS ainsi que pour les utilisateurs que vous avez créés sous votre compte AWS en utilisant IAM.

Il est facile d'obtenir un outil d'authentification auprès d'un fournisseur tiers partenaire ou de télécharger et d'installer le logiciel approprié sur votre téléphone portable, puis de le configurer pour l'utiliser via le site Web d'AWS. Des informations complémentaires au sujet de l'authentification multifactorielle sont disponibles ici.

Rotation de clé

Pour les mêmes raisons qu'il est important de changer fréquemment votre mot de passe, AWS recommande d'effectuer une rotation de vos clés d'accès et justificatifs de façon régulière. Afin de vous permettre ceci sans impact potentiel sur la disponibilité de vos applications, AWS supporte de multiples clés et des justificatifs d'accès simultanés. Avec cette caractéristique, vous pouvez effectuer une rotation des clés et certificats à l'intérieur et à l'extérieur de l'opération de façon régulière sans interruption de votre application Ceci peut aider à minimiser le risque de perte ou de compromission des clés ou justificatifs d'accès. Les API IAM vous permettent d'opérer une rotation des clés d'accès de votre compte AWS ainsi que pour les utilisateurs créés sous votre compte AWS.

Pour en savoir plus au sujet de cette caractéristique ou pour commencer à utiliser la rotation de clé, cliquez ici.

haut

Clé publique PGP AWS

L'équipe sécurité AWS encourage la communication client. Nous avons établi des processus pour rapporter des vulnérabilités de sécurité et pour demander des tests d'intrusion. Nous avons également créé une clé PGP signée pour des communications particulièrement sensibles que vous pourriez devoir envoyer.

haut





Témoignage
« La sécurité informatique améliorée inclut, mais n'est pas limitée à, une protection accrue contre les attaques de réseau et la détection en temps réel de fonctionnement intempestif. »

– Le conseil de la transparence et de la récupération au sujet des bénéfices de la sécurité attendus à partir de Recovery.gov vers le nuage informatique AWS.



©2011, Amazon Web Services LLC or its affiliates. Tous droits réservés.