Je souhaite avoir des informations sur IRAP dans le cloud

 

 

Conformité IRAP d'AWS

La protection des données du gouvernement australien contre l'accès, l'abus et la divulgation reste l'une des principales préoccupations lors de l'achat et de l'exploitation de services de cloud. AWS reconnaît que les clients comptent sur la livraison sécurisée de l'infrastructure AWS et sur l'importance de disposer de fonctionnalités qui leur permettent de créer des environnements plus sécurisés. AWS permet aux clients de respecter ces objectifs en privilégiant la sécurité dans ses prestations de services grâce à l'établissement d'un environnement de contrôle solide et à la mise à disposition d'une large gamme de services et de fonctionnalités de sécurité. Ces services fournissent des contrôles complets sur l'environnement de contrôle informatique du client, simplifient la gestion des services de sécurité et améliorent les résultats en termes de sécurité pour le gouvernement australien.

Le programme IRAP (Information Security Registered Assessors Program) permet au gouvernement australien de s'assurer de la mise en place des contrôles appropriés et de déterminer le modèle de responsabilité approprié pour répondre aux besoins du le manuel de sécurité des informations (ISM) de l'Australian Signals Directorate (ASD).

Un expert IRAP indépendant a examiné les contrôles mis en place par AWS pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondent aux besoins du manuel ISM. Cette évaluation et la lettre de conformité donnent à une autorité de certification l'assurance nécessaire pour certifier l'infrastructure AWS et donner des recommandations à l'autorité d'accréditation quant à l'utilisation appropriée de la plate-forme.

L'accréditation d'un organisme est l'aboutissement d'une évaluation IRAP et la certification officielle de l'ASD agissant en tant qu'autorité de certification pour le gouvernement australien. Cette certification est l'assurance qu'AWS a mis en place les contrôles applicables prévus par le manuel ISM de l'ASD et précède immédiatement l'accréditation d'AWS pour les charges de travail du gouvernement australien.

Cette certification allègera d'un lourd fardeau les organismes ou leurs partenaires commerciaux qui doivent procéder à des évaluations et des certifications de la plate-forme de cloud pour leurs charges de travail, et leur permet de se concentrer sur les processus d'accréditation de leur système.



AWS fournit aux clients une large gamme de fonctionnalités de sécurité pour protéger leurs données conformément aux contrôles prévus par le manuel ISM de l'ASD et aux directives et politiques des différents organismes. Nous améliorons sans cesse les outils de sécurité proposés aux clients, et nous publions régulièrement des améliorations pour les fonctionnalités de sécurité existantes. De plus, nous mettons à la disposition de nos clients un large éventail de livres blancs, de documents en ligne et de vidéos sur la sécurité. Nos livres blancs internationaux donnent des recommandations concernant la protection de vos données qui peuvent tout aussi bien s'appliquer aux charges de travail du gouvernement australien.

Cloud AWS IRAP

Comment puis-je profiter au mieux des guides et documents de sécurité IRAP d'AWS ?

Nos clients au sein du gouvernement australien peuvent tirer parti de notre certification ASD et de la lettre de conformité délivrée par des experts IRAP indépendants pour accélérer la réalisation de leurs objectifs de certification et d'accréditation.

Afin de mieux servir nos clients au sein du gouvernement australien, nous fournissons un package de guides et de documents de sécurité permettant d'approfondir leurs connaissances sur la sécurité et la conformité tout en utilisant AWS comme fournisseur de services de cloud certifié. 

En ce qui concerne l'évaluation de l'infrastructure AWS par un organisme de l'IRAP par rapport au manuel ISM, nous fournissons, dans le cadre d'un accord de non-divulgation (si besoin), aux organisations gouvernementales ou leurs partenaires :

-          un rapport de l'IRAP concernant la conformité d'AWS avec le manuel ISM ;

-          une lettre de certification de l'ASD pour la plate-forme de l'infrastructure AWS ;

-          lettre de conformité avec le manuel ISM de l'IRAP ;

-          un résumé de la mise en œuvre des contrôles.

Des rapports supplémentaires évaluent et mettent à l'épreuve les contrôles mis en œuvre par l'infrastructure AWS et sont disponibles dans le cadre d'un accord de non-divulgation (si besoin) :

-          rapport Service Organisation Controls 1 (SOC1), type II ;

-          rapport Service Organisation Controls 2 (SOC2), type II ;

-          certificat ISO 27001 et déclaration d'applicabilité ;

-          attestation de conformité PCI et récapitulatif des responsabilités PCI.

Pour en savoir plus sur les rapports supplémentaires, consultez les FAQ sur la conformité AWS.

Pour demander l'accès aux documents de sécurité d'AWS pour les clients du gouvernement australien ou les prestataires travaillant avec celui-ci, veuillez contacter l'équipe AWS en charge des ventes et du développement commercial ou envoyer un e-mail à l'adresse awscompliance@amazon.com.

     

Les experts IRAP sont les seules personnes qualifiées pour procéder à l'évaluation d'un système informatique par rapport au manuel ISM du gouvernement australien et décrivent les domaines de conformité et de non-conformité, expliquent les risques résiduels et les mesures correctives, et donnent des recommandations à une autorité de certification.

Evaluation IRAP

Les documents suivants sont mis à la disposition du public :

Le résumé de la mise en œuvre des contrôles et le rapport IRAP, étape 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Démarrez avec AWS Artifact dès aujourd'hui.

Oui, AWS est membre du panel depuis le 31 mars 2015. Les organismes bénéficient du meilleur rapport qualité/prix en ce qui concerne les services de cloud et profitent d'un processus d'achat simplifié en faisant appel à un fournisseur pré-évalué et à un cadre contractuel commun. Ce processus d'achat simplifié permet aux organismes d'avancer au gré de leur mission pour offrir de manière efficace des services aux citoyens australiens.

Le manuel ISM est le manuel de sécurité des informations publié par l'Australian Signals Directorate (ASD), une organisation du ministère de la Défense qui a pour mission de protéger les systèmes et les informations du gouvernement australien. 

Pour en savoir plus sur le rôle de l'ASD dans la protection de la sécurité des informations du gouvernement australien, rendez-vous sur : http://www.asd.gov.au/about/roleinfosec.htm

     

Oui, AWS a fait l'objet d'un audit mené par un expert indépendant de l'Information Security Registered Assessors Program. Dans le cadre de l'évaluation, l'expert a examiné les contrôles de sécurité mis en place par Amazon pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondaient aux besoins du manuel ISM 2014 de l'ASD.

Les services AWS couverts qui appartiennent déjà au champ d'application de l'évaluation IRAP sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

Non. Aucune région ne verra ses coûts de service augmenter en raison de la conformité d'AWS avec le manuel ISM.

Manuel ISM    

Oui, AWS a été certifié pour les charges de travail DLM non classées par l'Australian Signals Directorate (ASD) à titre d'autorité de certification et est l'un des premiers fournisseurs à avoir été inscrit sur la liste des services de cloud certifiés (CCSL) de l'ASD.

Les coûts et les risques des agences sont nettement réduits lorsqu'elles s'appuient sur la grande expertise de l'ASD à titre d'autorité de certification pour déterminer si le risque résiduel des services est bien compris et évalué de manière appropriée. Cela améliore considérablement les résultats en termes de sécurité des ministères australiens, tout en réduisant également les coûts associés à ces évaluations.

En octobre 2014, le ministère des Finances et le ministère des communications de l'Australie ont publié un document intitulé Australian Government Cloud Computing Policy 3.0, une approche cloud inédite qui visait l'adoption des services de cloud par les agences du gouvernement fédéral. 

 « Conformément à la politique du gouvernement australien relative au cloud, les agences doivent adopter les services de cloud lorsqu'ils sont adaptés, assurent un niveau adéquat de protection des données et une meilleure rentabilité. »

 Le manuel ISM est la norme régissant la sécurité des systèmes de technologies de l'information et de la communication (TIC) du gouvernement. Il complète le cadre PSPF (Protective Security Policy Framework) élaboré par le ministère de la Justice du gouvernement australien. Le manuel ISM traite de la mise en œuvre des contrôles appropriés pour exploiter toutes les classifications des charges de travail dans un environnement informatique. 

 La conformité avec le manuel ISM permet d'évaluer l'appartenance des fournisseurs de services de cloud à la liste des services de cloud certifiés de l'ASD qui fournit la liste des services de cloud au titre desquels ASD a agi en qualité d'autorité de certification. Les agences doivent disposer d'une certification pour que leurs charges de travail accréditées puissent être exécutées sur les services de cloud fournis par l'intermédiaire du panel « Whole of Government Cloud Services Panel » du ministère des Finances en tant que mécanisme d'achat principal pour les services de cloud destinés au gouvernement australien.

     
Il s'agit d'une personne accréditée par l'Australian Signals Directorate (ASD) au titre de l'Information Security Registered Assessors Program comme étant qualifiée pour procéder à des évaluations par rapport au cadre de contrôle de l'ASD, le manuel ISM      

L'évaluation IRAP et la certification ASD concernent la région AWS Sydney. Cependant, AWS traite toutes les régions sur un pied d'égalité en ce qui concerne les contrôles, les politiques et les processus utilisés pour leur exploitation. Les agences doivent accéder à leurs charges de travail et à leurs besoins commerciaux pour déterminer quelle région AWS doit être utilisée.

Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.      

 

Contactez-nous