Programme IRAP (Information Security Registered Assessors Program)

Présentation

IRAP

Le programme IRAP (Information Security Registered Assessors Program) permet aux clients du gouvernement australien de s'assurer de la mise en place des contrôles appropriés et de déterminer le modèle de responsabilité adéquat pour répondre aux exigences du manuel de sécurité des informations (manuel ISM) du gouvernement australien, établi par l'Australian Signals Directorate (ASD).

La protection des données du gouvernement australien contre l'accès, l'abus et la divulgation reste l'une des principales préoccupations lors de l'achat et de l'exploitation de services de cloud. AWS reconnaît que les clients comptent sur la livraison sécurisée de l'infrastructure AWS et sur l'importance de disposer de fonctions qui leur permettent de créer des environnements sécurisés. AWS permet aux clients de respecter ces objectifs en privilégiant la sécurité dans ses prestations de services grâce à l'établissement d'un environnement de contrôle solide et à la mise à disposition d'une large gamme de services et de fonctions de sécurité. Ces services fournissent des contrôles complets sur l'environnement de contrôle informatique du client, simplifient la gestion des services de sécurité et améliorent les résultats en termes de sécurité pour le gouvernement australien.

AWS est conforme au programme IRAP. Un expert IRAP indépendant a examiné les contrôles mis en place par AWS, notamment pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondent aux besoins du manuel ISM. Cette évaluation et la lettre de conformité donnent à une autorité de certification l'assurance nécessaire pour certifier l'infrastructure AWS et donner des recommandations à l'autorité d'accréditation quant à l'utilisation appropriée de la plate-forme.

L'accréditation d'un organisme est l'aboutissement d'une évaluation IRAP et la certification officielle de l'ASD agissant en tant qu'autorité de certification pour le gouvernement australien. Cette certification est l'assurance qu'AWS a mis en place les contrôles applicables prévus par le manuel ISM et précède immédiatement l'accréditation d'AWS pour les charges de travail du gouvernement australien.

  • Pourquoi des documents du programme IRAP sont-ils à ma disposition ?

    Afin de mieux servir nos clients au sein du gouvernement australien, nous fournissons un package de guides et de documents de sécurité permettant d'approfondir leurs connaissances sur la sécurité et la conformité tout en utilisant AWS comme fournisseur de services de cloud certifié. AWS fournit les livres blancs suivants, qui sont disponibles publiquement :

    Nos clients au sein du gouvernement australien peuvent utiliser notre certification ASD et de la lettre de conformité délivrée par des experts IRAP indépendants pour accélérer la réalisation de leurs objectifs de certification et d'accréditation. Les documents suivants sont mis à la disposition du public :

    Des documents du programme IRAP supplémentaires sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.

    • Résumé de la mise en œuvre du contrôle
    • Rapport IRAP, étape 2

    Des rapports supplémentaires évaluent et mettent à l'épreuve les contrôles mis en œuvre par l'infrastructure AWS et sont disponibles dans le cadre d'un accord de non-divulgation (si besoin) :

    • Rapport Service Organisation Controls 1 (SOC1), type II
    • Rapport Service Organisation Controls 2 (SOC2), type II ;
    • Certificat ISO 27001 et déclaration d'applicabilité
    • Attestation de conformité PCI et récapitulatif des responsabilités PCI

    Pour plus d'informations sur les rapports supplémentaires, consultez les FAQ sur la conformité AWS.

  • Pourquoi ai-je besoin d'un expert IRAP accrédité ?

    Les experts IRAP accrédités sont des personnes désignées par l'Australian Signals Directorate (ASD) au titre de l'Information Security Registered Assessors Program (IRAP) comme étant qualifiées pour procéder à des évaluations par rapport au cadre de contrôle de l'ASD, le manuel ISM.

    Les experts IRAP accrédités sont les seules personnes désignées comme étant qualifiées pour procéder à l'évaluation d'un système de technologies de l'information et des communications (TIC) relativement au manuel ISM du gouvernement australien. Un expert IRAP accrédité pointe du doigt les domaines de conformité et de non-conformité, indique les risques résiduels et les actions correctives et fournit des recommandations relatives à la certification à une autorité de certification.

  • Qu'est-ce que le manuel ISM ?

    Le manuel ISM est le manuel de sécurité des informations du gouvernement australien publié par l'Australian Signals Directorate (ASD), une organisation du ministère de la Défense qui a pour mission de protéger les systèmes et les informations du gouvernement australien.

    Le manuel ISM est la norme régissant la sécurité des systèmes de technologies de l'information et des communications (TIC) du gouvernement australien. Il complète le cadre PSPF (Protective Security Policy Framework) élaboré par le ministère de la Justice du gouvernement australien. Ensemble, le manuel ISM et le cadre PSPF fournissent des directives relatives à la mise en œuvre de contrôles appropriés pour exploiter toutes les classifications de charges de travail dans un environnement relatif aux TIC.

    La conformité avec le manuel ISM permet d'évaluer l'appartenance des fournisseurs de services de cloud à la liste des services de cloud certifiés de l'ASD qui fournit la liste des services de cloud au titre desquels ASD a agi en qualité d'autorité de certification. Les agences doivent disposer d'une certification pour que leurs charges de travail accréditées puissent être exécutées sur les services de cloud fournis par l'intermédiaire du panel « Whole of Government Cloud Services Panel » du ministère des Finances en tant que mécanisme d'achat principal pour les services de cloud destinés au gouvernement australien.

    En octobre 2014, le ministère des Finances et le ministère des communications de l'Australie ont publié un document intitulé Australian Government Cloud Computing Policy 3.0, une approche cloud inédite qui visait l'adoption des services de cloud par les agences du gouvernement fédéral.

    « Conformément à la politique du gouvernement [australien] relative au cloud, les agences doivent désormais adopter les services de cloud lorsqu'ils sont adaptés, assurent un niveau adéquat de protection des données et une meilleure rentabilité. »

    Pour plus d'informations sur le rôle de l'ASD dans la protection de la sécurité des informations australiennes, veuillez consulter la rubrique Information security (InfoSec) role (rôle de la sécurité de l'information) sur le site web de l'ASD.

    irap_graphics
  • AWS respecte-t-elle les exigences du manuel ISM ?

    Oui, AWS a fait l'objet d'un audit mené par un expert indépendant de l'Information Security Registered Assessors Program (IRAP). Dans le cadre de l'évaluation, l'expert a examiné les contrôles de sécurité mis en place par Amazon pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondaient aux besoins du manuel ISM 2014 de l'ASD. Pour plus d'informations, référez-vous à la Lettre de conformité du manuel ISM avec le programme IRAP qui se trouve sur le site web d'AWS.

  • Où puis-je trouver plus d'informations sur le programme IRAP ?

    Pour plus d'informations, consultez la page dédiée au programme IRAP sur le site web de l'ASD.

  • Quels régions et services AWS sont couverts par l'évaluation du programme IRAP ?

    L'évaluation IRAP et la certification ASD concernent la région AWS Sydney. Cependant, AWS traite toutes les régions AWS sur un pied d'égalité en ce qui concerne les contrôles, les politiques et les processus utilisés pour leur exploitation. Les agences doivent accéder à leurs charges de travail et à leurs besoins commerciaux pour déterminer quelle région AWS doit être utilisée.

    Les services AWS couverts déjà concernés par l'évaluation IRAP sont indiqués sur la page web Services AWS concernés par le programme de conformité.

  • Puis-je utiliser d'autres services AWS non inclus dans l'évaluation du programme IRAP ?

    Oui. Si l'un des services que vous souhaitez utiliser n'est pas répertorié sur la page web des Services AWS concernés par le programme de conformité, vous pouvez évaluer la pertinence de vos charges de travail avec d'autres services AWS.

  • La conformité avec le manuel ISM augmentera-t-elle les coûts de services AWS ?

    Non, aucune augmentation des coûts du service ne peut résulter de la conformité d'AWS avec le manuel ISM.

  • AWS est-elle sur la liste des services de cloud certifiés par l'ASD ?

    Oui, l'Australian Signals Directorate (ASD) a soumis AWS à une évaluation IRAP et lui a accordé la certification ASD relative aux charges de travail non classées par celui-ci. Pour plus d'information, consultez laliste des services de cloud certifiés par l'ASD (CCSL).

    Les agences du gouvernement australien peuvent considérablement réduire les coûts et les risques en s'appuyant sur la grande expertise de l'ASD en tant qu'autorité de certification destinée à s'assurer que les risques résiduels relatifs aux services sont bien compris et évalués de manière appropriée. Cela améliore considérablement les résultats en termes de sécurité des ministères australiens, tout en réduisant également les coûts associés à ces évaluations.

  • AWS fait-elle partie du panel « Whole of Government Cloud Services Panel » du ministère des Finances ?

    Oui, AWS est membre du panel depuis le 31 mars 2015. Les agences jouissent d'une meilleure rentabilité et d'un processus d'approvisionnement simplifié en passant par un fournisseur de services de cloud pré-évalué et en s'appuyant sur un cadre contractuel commun. Ce processus d'achat simplifié permet aux organismes d'avancer au gré de leur mission et d'offrir de manière efficace des services aux citoyens australiens.

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »