Généralités

1. Quelle est la meilleure façon de remplir mon questionnaire annuel d'AWS relatif au vendeur/fournisseur/diligence raisonnable ?

Dans le cas où vous auriez besoin d'aide pour remplir un questionnaire pour rendre compte de vos positions en matière de sécurité et de conformité AWS, AWS possède une approche recommandée, conçue pour vous fournir les ressources nécessaires pour répondre à vos questions de sécurité et de conformité dans le cadre du cloud et du modèle économique AWS. Voici les ressources utilisées le plus fréquemment pour remplir les questionnaires relatifs à la sécurité et à la conformité :

  • AWS Artifact - AWS Artifact est votre ressource centrale à laquelle vous pouvez vous référer pour obtenir des informations sur la conformité importante pour vous. Il offre un accès à la demande aux rapports de sécurité et conformité d'AWS, ainsi qu'à certains contrats en ligne. Le rapport AWS SOC 2 est particulièrement utile pour remplir les questionnaires car il procure une description complète de la mise en place et de l'efficacité opérationnelle des contrôles de sécurité AWS. L'Executive Briefing représente également un autre document pratique du package partenaire AWS FedRAMP.
  • Questionnaire Consensus Assessments Initiative Le questionnaire Consensus Assessments Initiative, mis au point par la CSA, consiste en un ensemble de questionnaires qui pourrait être posé par un consommateur cloud et/ou par un auditeur à un fournisseur cloud. Il fournit une série de questions de sécurité, de contrôle et sur les processus pouvant être utilisées pour un large ensemble d'utilisations, notamment dans la sélection du fournisseur cloud et l'évaluation de la sécurité. Ce document contient les réponses AWS au questionnaire CSA.
  • Livre blanc Risque et conformité AWS - Ce document contient des informations spécifiques à AWS et des questions générales de conformité par rapport à l'utilisation du cloud computing. Enfin, on y trouve des descriptions détaillées de l'ensemble des certifications, programmes, rapports AWS et attestations tierces. 
  • Page Web des contrôles du centre de données AWS - Plusieurs questionnaires possèdent une partie entière consacrée aux questions liées à la sécurité physique du centre de données. Cette page Web vous apporte des informations sur certains de nos contrôles physiques et environnementaux.
2. Quels services et fonctionnalités AWS sont conformes aux normes communes de sécurité et de conformité du cloud ?

Services AWS concernés - Cette page Web fournit une liste des services AWS dont leur conformité aux normes communes est évaluée. Sauf si elles sont spécifiquement exclues, les fonctions de chaque service répertorié sont considérées comme étant concernées par le programme de conformité et sont examinées et testées lors de l'évaluation. Référez-vous à la Documentation AWS pour connaître les fonctions d'un service AWS. 

3. Puis-je me conformer à mes exigences en matière de réglementation sur AWS ?

AWS a des clients dans le monde entier et s'adapte continuellement à l'évolution des réglementations. Le centre de conformité AWS propose un emplacement central pour rechercher des exigences réglementaires relatives au cloud et leur impact sur votre secteur. Sélectionnez le pays qui vous intéresse, et le centre de conformité AWS affichera la position réglementaire du pays concernant l'adoption des services de cloud.  

4. Est-ce que AWS dispose de sous-traitants ?

AWS est susceptible d'engager les entités répertoriées sur la page Web des sous-traitants AWS pour effectuer des activités de traitement spécifiques pour le compte du client ou des activités de gestion des installations de centres de données. Cette page propose également aux clients de s'abonner aux notifications par e-mail au cas où la liste des sous-traitants change.

AWS signale de manière proactive à nos clients tous les sous-traitants qui ont accès au contenu client que vous téléchargez sur AWS, y compris les contenus pouvant contenir des données personnelles. AWS n'autorise aucun sous-traitant à accéder au contenu client que vous chargez sur AWS. Pour surveiller l'accès des sous-traitants tout au long de l'année, consultez la page Web Accès par des sous-traitants

5. Pourriez-vous me donner les emplacements des centres de données AWS pour ma stratégie de continuité opérationnelle ou de reprise après sinistre ?

AWS garde les emplacements de nos centres de données strictement confidentiels afin de préserver la sécurité et la confidentialité des données des clients. Les emplacements sont dévoilés uniquement aux employés et sous-traitants AWS dont l'activité approuvée nécessite d'être sur site.

Les clients peuvent prendre la mesure de la sécurité et de la résilience de l'infrastructure physique d'AWS en constatant tous les contrôles de sécurité qu'AWS a mis en place pour ses centres de données. Pour aider les clients à évaluer les risqués liés aux centres de données AWS, AWS propose la page Web Contrôles des centres de données AWS et le rapport AWS SOC 2 disponible dans AWS Artifact

6. Quels facteurs importants les clients doivent prendre en compte dans le cadre de leur plan de reprise après sinistre ?

Les clients évaluant AWS dans le cadre de leur plan de reprise après sinistre doivent commencer par identifier leurs objectifs de résilience et tenir compte de toutes les exigences réglementaires applicables en matière de résilience et reprise après sinistre. Les clients peuvent alors construire leur environnement AWS de façon à respecter leurs objectifs de résilience et les exigences réglementaires. À titre d'exemple, pour atténuer les risques environnementaux, les clients peuvent concevoir leurs charges de travail AWS de manière à tirer parti des zones de disponibilité et des régions physiquement séparées pour atteindre leurs objectifs. Les clients avec des exigences de haute disponibilité utilisent généralement plusieurs régions pour leurs applications stratégiques. Pour en savoir plus, consultez les pages Web AWS Reprise après sinistre, Contrôles des centres de données et le rapport AWS SOC 2 consultable sur AWS Artifact.

Rapports de conformité

1. Où puis-je télécharger les rapports de conformité AWS, comme le rapport SOC ou PCI ?

AWS Artifact fournit plusieurs rapports rédigés par des auditeurs tiers qui ont testé et vérifié notre conformité avec différentes réglementations et normes de sécurité internationales, régionales et spécifiques au secteur d'activité. Lorsque de nouveaux rapports sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact. Pour plus d'informations, consultez la page FAQ sur les rapports de conformité. AWS Artifact est accessible directement depuis AWS Management Console.

2. Où puis-je trouver une lettre de pont pour les rapports AWS SOC 1 et SOC 2 ?

Sur la base de l'année complète de couverture d'AWS dans nos cycles de rapport SOC 1 et SOC 2, nous publions une lettre de poursuite des opérations SOC en lieu et place d'une lettre de pont. Ce document peut être téléchargé via AWS Artifact depuis AWS Management Console.

3. Les rapports AWS SOC expirent-ils à la fin de la période considérée ?

Non. Les audits SOC sont effectués sur une certaine période. Une fois que la période d'audit est terminée, le rapport est préparé et mis à la disposition des clients sous 6 à 8 semaines. AWS publie chaque année deux rapports SOC 1 et SOC 2 couvrant 6 mois (le premier rapport porte sur la période allant du 1er octobre au 31 mars et le second sur celle allant du 1er avril au 30 septembre). Plusieurs facteurs influent sur la date de publication du rapport, mais nous visons début mai et début novembre de chaque année pour publier les nouveaux rapports. Lorsque de nouveaux rapports SOC sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact.

4. Comment mes clients finaux obtiennent-ils une copie des rapports AWS SOC 1 et SOC 2 ?

AWS enverra avec plaisir une copie du rapport SOC 1 ou SOC 2 à votre client mais nous demandons que l'utilisateur prévu du rapport ait signé un accord de non-divulgation (NDA) directement avec AWS. Pour aider au mieux vos clients, nous leur conseillons d'utiliser le guide Mise en route avec AWS Artifact pour télécharger le ou les rapports de conformité demandés.

Si votre client ne veut pas signer de NDA avec AWS, nous publions le rapport AWS SOC 3 sur notre page Web Conformité SOC. Le rapport SOC 3 est un résumé du rapport AWS SOC 2 ; il garantit, y compris l'avis de l'auditeur externe, qu'AWS maintient un fonctionnement efficace des contrôles basés sur les critères définis dans les Trust Services Principles de l'AICPA.

Programmes de conformité

1. AWS a-t-il reçu la certification HIPAA ?

Il n'existe aucune certification HIPAA pour un fournisseur de services cloud (CSP) tel qu'AWS. Pour respecter les exigences HIPAA applicables à notre modèle opérationnel, AWS met notre programme de gestion des risques HIPAA en conformité avec le programme FedRAMP et la spécification NIST 800-53, une norme de sécurité plus élevée qui est liée à la règle de sécurité HIPAA. Le NIST soutient cette mise en conformité et a publié la spécification 800-66, « An Introductory Resource Guide for Implementing the HIPAA Security Rule », qui explique de quelle manière la spécification NIST 800-53 s'aligne sur la règle de sécurité HIPAA. Consultez la page Web AWS HIPAA pour plus d'informations sur la conformité HIPAA sur AWS.

2. L'additif au contrat partenaire (BAA) conclu par AWS respectera-t-il les règles et réglementations imposées par la loi HIPAA ?

Oui. AWS a un BAA standard que nous concluons avec les clients. Il tient compte des services uniques qu'AWS fournit et s'adapte au modèle AWS de responsabilité partagée.

Pour revoir, accepter et gérer le statut du BAA de votre compte ou pour tous les comptes qui font partie de votre organisation dans AWS Organizations, connectez-vous à AWS Artifact à partir de AWS Management Console.

3. Que cela signifie-t-il pour un service AWS d'être conforme à la législation HIPAA ?

AWS suit un programme de gestion des risques reposant sur des normes pour s'assurer que les services conformes à la législation HIPAA prennent en charge les processus de sécurité, de contrôle et d'administration requis par la loi HIPAA. Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre des données de santé protégées à l'aide des services conformes à la législation HIPAA. Consultez les ressources AWS suivantes pour plus d'informations sur la conformité HIPAA sur AWS :

4. Comment devenir conforme HITRUST sur AWS ?

AWS dispose d'un large éventail de certifications et d'attestations couvrant divers programmes de conformité internationaux. Vous pouvez vous appuyer sur ces certifications et attestations afin d'atteindre les objectifs de vos autres programmes de conformité, notamment HITRUST CSF ou les programmes proposés par l'EHNAC (Electronic Healthcare Network Accreditation Commission). Enfin, vous pouvez également collaborer avec l'un de nos partenaires spécialisés dans la conformité pour le secteur de la santé.

5. Comment conclure un additif sur le traitement des données (DPA) conforme au RGPD avec AWS ?

Vous n'avez rien à faire pour profiter des avantages du DPA du RGPD. Les conditions du DPA du RGPD sont incluses dans les conditions de services AWS et, depuis le 25 mai 2018, le DPA du RGPD s'applique automatiquement aux clients dont les activités entrent dans le champ d'application du RGPD. Consultez cet article du blog Sécurité AWS pour en savoir plus sur le DPA d'AWS.

6. Les services AWS sont-ils certifiés par rapport au bouclier de protection des données UE-États-Unis ?

Oui. Les services AWS sont certifiés par rapport au bouclier de protection des données UE – États-Unis. Vous pouvez consulter la certification d'AWS ici. L'arrêt de la Cour de justice de l'Union européenne de juillet 2020 invalidant la décision 2016/1250 de la Commission européenne (sur l'adéquation de la protection fournie par le bouclier de protection des données UE-États-Unis) ne libère pas les participants au bouclier de protection des données UE-États-Unis de leurs obligations en vertu du cadre.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »