Penser la conformité des environnements à l’échelle avec AWS Audit Manager

Établir une posture de sécurité conforme à des exigences réglementaires provenant de standards internationaux (ISO), de règles d’une industrie (HDS), de cadres gouvernementaux (PSSI-E) ou propre à son organisation est un défi sur lequel nos clients consultent nos différentes équipes régulièrement. Au-delà d’attester du respect de l’implémentation des bonnes pratiques et principes de sécurité propre à une entité, la bonne conformité à un ou plusieurs référentiels de sécurité est souvent un prérequis pour la mise en service (et la commercialisation) d’un produit ou d’une application.

Dans cet article, nous illustrons les fondamentaux de l’audit de sécurité à l’heure du cloud en partageant nos recommandations et approches capitalisant sur l’utilisation d’AWS Audit Manager au cœur d’une stratégie efficace de pilotage de la sécurité informatique à l’échelle des organisations afin que vous puissiez déployer des programmes de sécurité ambitieux amenant sur une posture automatisée et renforcée.

Nous verrons comment le modèle transparent d’AWS permet de rationaliser l’investissement en temps lors de la conduite des audits, et permet ainsi de construire des offres plus facilement évolutives car disposant d’une conformité désormais pilotable et répétable.

Enfin, vous trouverez un répertoire GitHub implémentant les premières étapes de programmes de sécurité ambitieux ainsi que des recommandations pour les référentiels Français “Hébergeur de Données de Santé (HDS)” et la “Politique de Sécurité des Systèmes d’Information de l’Etat (PSSI-E)”.

Principes de l’audit de conformité et modèle de responsabilité partagée

L’utilisation d’AWS est concomitante de l’adoption du modèle de responsabilité partagée. Conformément à ce dernier, l’audit de sécurité et de conformité conduit par les organisations clientes va donc se structurer selon les deux parties identifiées par ce dernier. L’enjeu premier sera alors de prouver à un auditeur que, sur le périmètre de l’audit, les deux parties sur lesquelles repose un système d’information sont conformes au cadre de référence considéré.

Toujours en accord avec ce modèle : les choix techniques d’une organisation cliente en matière d’architecture, services et solutions viennent moduler la part déléguée à AWS. Ainsi l’utilisation des services “managés” (Ex : Amazon Relational Database Service) vient déléguer une partie du déploiement des mises à jour de sécurité à AWS et facilite le maintien en condition de sécurité et en bonne conformité des environnements. C’est une des raisons pour laquelle nous conseillons l’utilisation de services “managés”.

Pour concevoir, préparer et effectuer les audits qui attesteront d’une bonne conformité des procédés, technologies et applications, nous conseillons de travailler selon la démarche suivante :

1. Identifier les cadres réglementaires sectoriels, régionaux et locaux applicables,
2. Préciser la politique ainsi que les objectifs de sécurité de l’organisation sur AWS,
3. Consulter et établir la liste des services AWS, et régions, conformes aux exigences de sécurité. (Ex : ISO, RGPD, HDS),
4. Effectuer et documenter les développements en capitalisant sur les services et régions AWS rentrant dans le périmètre des certifications recherchées,
5. Automatiser les vérifications de conformité des configurations des différents services utilisés,
6. Établir une revue des processus accompagnant les systèmes d’information,
7. Conduire les audits nécessaires de conformité en partenariat avec un organisme externe habitué aux déploiements sur AWS,
8. Évaluer le besoin d’accompagnement par une expertise certifiée.

Au moment de présenter les preuves attestant de la bonne adéquation des déploiements vis-à-vis des objectifs et divers référentiels :

• Les contrôles de sécurité déployés par AWS sont directement téléchargeables et consultables depuis AWS Artifact. Vous y trouverez plus de 50 rapports de certifications relatifs à des standards internationaux, plus de 100 accréditations de sécurité relatives à des cadres locaux,
• Il faudra ensuite les compléter par les preuves attestant des mesures organisationnelles et déploiements techniques effectués par l’entité.

L’enjeu suivant tient dans la répétabilité de la démarche d’audit, la mise en conformité de nouvelles infrastructures, l’automatisation de la collection des preuves et le maintien en bonne conformité des environnements.

Gouvernance, gestion des risques et des conformités à l’échelle

Le 8 décembre 2020, nous annoncions la disponibilité mondiale d’AWS Audit Manager, un service visant la simplification, le pilotage et la création des rapports pour les audits de conformité. Si AWS Audit Manager propose des référentiels de sécurité sur étagère, nous allons étudier l’utilisation des référentiels de sécurité personnalisés (“Custom framework”) associés à des contrôles de sécurité personnalisés (“Custom control”) afin d’implémenter des référentiels de sécurité propres (ou de transcrire une politique de sécurité Cloud interne).

Pour nos clients établis ou qui cherchent à s’établir sur AWS, nous recommandons les choses suivantes : La mise en place d’un centre d’expertise Cloud CCOE (“Cloud Center Of Exellence”) et l’adoption d’une stratégie multi-compte pour déployer les différents systèmes d’information.

Si le CCOE dispose d’une équipe dédiée à la sécurité dans le cloud, son premier défi est souvent de faire levier sur ses connaissances et d’établir une gouvernance systématique sur les environnements et services provisionnés, puis d’assurer que le passage au Cloud permet bien de conserver l’ensemble des certifications nécessaires à l’organisation.

Le schéma suivant, illustre la démarche itérative que nous recommandons afin d’établir et d’appliquer une politique de sécurité dans le cloud selon une approche progressive :

Si le cadre d’exigences est déjà connu et disponible depuis AWS Audit Manager, il conviendra alors de se concentrer sur la déclinaison et l’implémentation technique des exigences de sécurité, ainsi que sur l’automatisation de la collection des preuves et l’écriture des règles AWS Config associées.

À titre d’exemple, en provenant de la PSSI-E (Exploitation des SI, Objectif 22) :

On constate que l’exigence de sécurité fixe une durée de conservation des journaux à douze mois :

1. On pourra alors penser la rédaction d’un règle AWS Config vérifiant que l’ensemble des traces sur Amazon Cloudwatch disponible dans les “groupes de journaux“ ont bien une période de rétention configurée sur au moins 12 mois,
2. On pourra alors penser la rédaction d’une règle AWS Config vérifiant que les buckets Amazon Simple Storage Service (Amazon S3) disposent bien d’une période de rétention configurée sur au moins douze mois pour les trails provenant d’AWS Cloudtrail.

On associera ensuite les deux règles en tant que sources pour le contrôle de sécurité personnalisé ainsi défini, et on pourra prévoir la fréquence d’évaluation des règles afin de piloter précisément l’état de conformité des environnements et systèmes. En cas de modification entraînant une non-conformité, on pourra soit rétablir directement et automatiquement la configuration des ressources, soit notifier l’administrateur du système.

Pour accompagner et accélérer les organisations clientes dans l’implémentation d’une telle démarche et des transformations en découlant, que ce soit vers la formalisation d’une politique de sécurité ou dans l’écriture des règles AWS Config associées, nous proposons l’engagement de nos partenaires certifiés ou de nos équipes “AWS Professional Services”.

AWS Audit Manger et l’écosystème Français : Référentiels prêt à l’usage

Nous proposons un répertoire GitHub proposant les premières étapes du processus illustré plus haut pour les référentiels HDS et pour la PSSIE en plus d’une solution permettant de créer rapidement des référentiels de sécurité personnalisés. Il se base sur une architecture simple qui capitalise sur une arborescence de fichiers et de dossiers. Lorsque cela est pertinent, des recommandations sont émises, permettant de positionner l’utilisation d’un ou plusieurs services AWS. Ce répertoire est ouvert, à vocation collaborative et évolutive, et s’inscrit dans la logique de construction des communs de la cybersécurité et de notre présence au sein du Campus cyber.

En travaillant sur ces référentiels nous avons pu tirer la conclusion suivante : il est plus facile de construire des solutions conformes sur AWS.

1. Lorsque les organisations clientes font le choix de construire sur nos infrastructures, elles disposent d’environnements déjà certifiés sur lesquelles construire des solutions pour le marché Français,
2. Il est plus aisé d’implémenter les différentes exigences de sécurité, l’utilisation des automatismes des services managés permettent de facilement configurer des politiques de mots de passe, des périodes de patching, des périodes de backup ou encore des mécanismes de filtrage,
3. Car en factorisant une partie du travail sur la partie infrastructure, et en proposant des services à l’évaluation automatisable : l’effort est réduit.

Les impressions d’écran suivantes sont issues du déploiement des cadres de sécurité provenant des codes proposés. Nous recommandons d’effectuer les déploiements depuis un environnement AWS Cloudshell et un profil utilisateur disposant des permissions nécessaires vis à vis d’AWS Audit Manager (création de contrôle et de cadres personnalisés). Une fois déployés, ces derniers sont disponibles depuis la section “Framework Library” d’AWS Audit Manager

Vous pouvez ensuite commencer un audit de sécurité en sélectionnant le bouton “Create assessment” sur la base des cadres proposés.

Conclusion

Nous comprenons comment l’utilisation d’AWS permet de construire plus rapidement des systèmes et des applications conformes à différents cadres réglementaires. D’autre part, nous disposons maintenant d’une méthodologie et d’une proposition de solution afin de déployer plus facilement des programmes de sécurité au sein d’une entreprise en capitalisant sur AWS Audit Manager, en plus de disposer de l’implémentation des référentiels “Hébergeur de donnée de santé” et “Politique de Sécurité des Systèmes d’Information de l’Etat” directement depuis AWS, afin de faciliter la mise en conformité des systèmes et des organisations.

N’hésitez pas à lire nos autres articles concernant AWS audit manager, vous y trouverez des patterns et des guides d’architecture concernant l’utilisation du service.

Article rédigé par Guillaume Neau et Makram JENAYAH, Sr. Solutions Architectes dans les équipes du secteur public en France. Spécialiste des questions de sécurité, Guillaume se passionne pour les questions de technologie et de transformation numérique au service des citoyens. Passionné par les sujets de la santé, Makram accompagne les acteurs du secteur public à profiter de la puissance de la plateforme AWS pour fournir des services de santé de qualité aux citoyens.