Programme IRAP (Information Security Registered Assessors Program)

Présentation

IRAP

Le programme IRAP (Information Security Registered Assessors Program) permet aux clients du secteur public australien de s'assurer de la mise en place des contrôles appropriés et de déterminer le modèle de responsabilité adéquat pour répondre aux exigences du manuel de sécurité de l'information (ISM) du secteur public australien rédigé par l'Australian Cyber Security Centre (ACSC).

La protection des données des clients du secteur public australien contre l'accès et la divulgation non autorisée reste l'une des principales préoccupations lors de l'achat et de l'exploitation de services cloud. AWS est consciente que les clients espèrent la fourniture sécurisée de l'infrastructure AWS et tiennent à disposer de fonctions qui leur permettent de créer des environnements sécurisés. AWS permet aux clients de respecter ces objectifs en privilégiant la sécurité dans ses prestations de services grâce à l'établissement d'un environnement de contrôle solide et à la mise à disposition d'une large gamme de services et de fonctions de sécurité. Ces services fournissent des contrôles complets sur l'environnement de contrôle informatique du client, simplifient la gestion des services de sécurité et améliorent les résultats du point de vue de la sécurité pour le secteur public australien.

Les AWS Cloud services ont été évalués et jugés conformes aux normes prévues dans l'ISM, le manuel de sécurité de l'information. Un évaluateur indépendant de l'IRAP a passé les contrôles AWS, y compris les personnes, les processus et la technologie, au crible des exigences de l'ISM. Cette évaluation est l'assurance qu'en ce qui concerne les produits qu'AWS a mis en place, les contrôles applicables obligatoires pour les charges de travail du secteur public australien au niveau PROTECTED (PROTÉGÉ) sont mis en œuvre.

  • Quel est l'impact depuis l'arrêt du CSCP et du CCSL ?

    Le lundi 2 mars 2020, l'Australian Signals Directorate (ASD) et la Digital Transformation Agency (DTA) ont annoncé les résultats de l'évaluation du Cloud Services Certification Program (CSCP) et de l'Information Security Registered Assessors Program (IRAP). L'évaluation a donné lieu aux recommandations suivantes :

    • Arrêter le CSCP et créer de nouvelles directives de sécurité cloud en collaboration avec les acteurs du secteur
    • Développer et améliorer l'IRAP
    • Créer des forums consultatifs entre les gouvernements et les acteurs du secteur aux fins de la cybersécurité
    • Mettre à jour les incitations dans les instructions et orientations administratives et de passation de marchés pour tenir compte de l'arrêt du CSCP

    Depuis le 2 mars 2020, l'ASD n'est plus l'autorité de certification et a cessé toutes les activités de certification, y celles de re-certification. Toutes les certifications ASD et les lettres de re-certification seront annulées à partir du 27 juillet 2020 et le manuel de sécurité de l'information du secteur public australien a été mis à jour pour supprimer l'obligation de sélectionner les services cloud dans la liste des services de cloud certifiés (CCSL).

    L'Australian Government Secure Cloud Strategy permet aux agences du Commonwealth d'auto-évaluer les services cloud en utilisant des pratiques qui servent déjà à évaluer les systèmes de TIC.

    Qu'elle est la situation actuelle ?

    Le 27 juillet 2020, l'Australian Cyber Security Centre (ACSC) et la Digital Transformation Agency (DTA) ont publié un nouveau Guide sur la sécurité dans le cloud. Conçu en collaboration avec les acteurs du secteur, ce document vise à soutenir l'adoption sécurisée des services cloud par le secteur public et le secteur. AWS poursuit ses évaluations IRAP afin de maintenir l'évaluation à jour et d'intégrer de nouveaux services. Les entités du Commonwealth restent responsables de leurs propres activités d'assurance et de gestion des risques. L'Australian Government Secure Cloud Strategy permet aux entités du Commonwealth d'auto-évaluer les services cloud en utilisant des pratiques déjà utilisées pour évaluer les systèmes de TIC. L'ASD compte améliorer les directives existantes en matière de sécurité dans le cloud grâce à l'élaboration de directives co-conçues avec les acteurs du secteur. Avec ces directives, les entités du Commonwealth et les entreprises australiennes vont pouvoir renforcer leur sécurité informatique et leur résilience.

    À ce jour, l'ASD a élaboré un certain nombre de guides utiles pour permettre aux organisations d'entreprendre les évaluations de sécurité appropriées des services cloud. Il est recommandé que toute évaluation aborde clairement les contrôles de sécurité prévus dans l'ISM ainsi que les directives de sécurité cloud de l'ASD, notamment :

    La DTA continue d'encourager les agences du Commonwealth à utiliser l'Australian Government Cloud Strategy pour soutenir leur adoption de services cloud.

  • Pourquoi des documents du programme IRAP sont-ils à ma disposition ?

    Afin de mieux servir nos clients au sein du secteur public australien, nous fournissons un ensemble de guides et de documents de sécurité leur permettant d'approfondir leurs connaissances sur la sécurité et la conformité lorsqu'ils utilisent AWS. AWS fournit les documents suivants disponibles publiquement :

    Vous pouvez accéder au pack IRAP PROTECTED via AWS Artifact, un portail libre-service pour l'accès à la demande aux rapports de conformité AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact. Ces informations permettent de planifier, d'architecturer et d'auto-évaluer les systèmes créés dans AWS conformément à l'Australian Government Secure Cloud Strategy. Avec ce pack, les clients du secteur public disposent de tout ce dont ils ont besoin pour évaluer les services AWS au niveau PROTECTED et les agences individuelles peuvent simplifier le processus d'adoption des services AWS. Le pack comprend les documents suivants :

    • La lettre de conformité,
    • Le résumé de la mise en œuvre du contrôle,
    • Le rapport de la deuxième étape de l'IRAP,
    • L'architecture de référence, et
    • Le guide du consommateur.

    Des rapports supplémentaires disponibles conformément à l'Accord de non-divulgation (le cas échéant) évaluent et testent les contrôles mis en œuvre par l'infrastructure AWS. Il s'agit des documents suivants :

    • Rapport du Service Organisation Controls 1 (SOC1), type II
    • Rapport du Service Organisation Controls 2 (SOC2), type II
    • Certificat ISO 27001 déclaration d'applicabilité, et
    • Attestation de conformité PCI et récapitulatif des responsabilités PCI.

    Un Quick Start destiné aux utilisateurs qui souhaitent créer des charges de travail basées sur le cloud utilisant des contrôles AWS conformes aux exigences de l'ISM pour le traitement des données sensibles du secteur public au niveau de classification PROTECTED. Il déploie automatique l'architecture de référence IRAP PROTECTED sur le Cloud AWS en à peu près une heure. L'architecture de référence montre comment plusieurs services AWS sont réunis pour prendre en charge une application Web à plusieurs niveaux avec des services de sécurité et de gestion associés qui répondent aux exigences ISM PROTECTED. Tous les contrôles recommandés ne sont pas inclus dans ce Quick Start, même si cette solution implémente un grand nombre des contrôles présentés dans l'architecture de référence IRAP PROTECTED. Avant d'utiliser cette solution pour stocker des données PROTECTED, pensez à suivre les instructions dans le package IRAP PROTECTED disponible sur AWS Artifact.

    Pour plus d'informations sur les rapports supplémentaires, consultez les programmes sur la conformité AWS.

  • Pourquoi ai-je besoin d'un expert IRAP accrédité ?

    Les évaluateurs accrédités par l'IRAP sont des professionnels des TIC de toute l'Australie qui sont accrédités par l'Australian Signals Directorate (ASD) dans le cadre du programme IRAP (Information Security Registered Assessors Program) comme étant dûment qualifiés pour évaluer les systèmes de technologies de l'information et de la communication (TIC) par rapport au cadre de contrôle de l'ASD, le manuel de sécurité de l'information (ISM).

    Les évaluateurs de l'IRAP ont l'expérience et les qualifications nécessaires en matière de TIC, d'évaluation de la sécurité et de gestion des risques, ainsi qu'une connaissance pointue des exigences de conformité du secteur public australien en matière de sécurité de l'information.

  • En quoi consiste l'ISM ?

    Le Manuel de sécurité de l'information (ISM) du secteur public australien décrit un cadre de cybersécurité que les organisations peuvent appliquer pour protéger leurs systèmes de technologies de l'information et de la communication (TIC) contre les cybermenaces. Il complète le cadre PSPF (Protective Security Policy Framework) préparé par le ministère de la Justice du gouvernement australien. L'ISM et le PSPF fournissent des directives et des obligations aux agences du Commonwealth pour la mise en œuvre de contrôles appropriés dans un environnement TIC. En outre, les agences du Commonwealth doivent tenir compte des orientations pertinentes qui leur sont spécifiquement destinées.

    En 2017, la Digital Transformation Agency (agence de transformation numérique, DTA) a travaillé avec d'autres organismes gouvernementaux et acteurs du secteur pour développer une stratégie cloud sécurisée, notamment la Secure Cloud Strategy. Cette stratégie vise à assister les organismes gouvernementaux à exploiter la technologie cloud.

    L'ISM est une co-publication de l'Australian Cyber Security Centre (ACSC), le principal organisme du secteur public australien de sécurité cybernétique nationale, et d'un département de l'Australian Signals Directorate (ASD).

    Pour en savoir plus sur le rôle de l'ACSC dans la promotion et l'amélioration de la cybersécurité en Australie, voir la page Web sur la cybersécurité sur le site de l'ASD ou celui de l'ACSC.

  • AWS respecte-t-elle les exigences du manuel ISM ?

    Oui. Les AWS Cloud services ont été évalués par un évaluateur indépendant de l'IRAP. Dans le cadre de l'évaluation, l'expert a examiné les contrôles de sécurité mis en place par Amazon pour évaluer le personnel, les processus et les technologies. Cette évaluation est l'assurance qu'AWS dispose des contrôles applicables obligatoires pour les charges de travail du secteur public australien au niveau PROTECTED en ce qui concerne ces produits. Pour plus d'informations, vous pouvez également vous rendre sur le site AWS Artifact pour accéder au pack IRAP PROTECTED de la plus récente évaluation.

  • Où puis-je trouver plus d'informations sur le programme IRAP ?

    Pour plus d'informations, consultez la page de l'IRAP sur le site Web de l'ACSC.

  • Quels sont les régions et le service AWS couverts par le programme d'évaluation IRAP ?

    L'évaluation de l'IRAP couvre les services relevant d'AWS dans la région de Sydney. Les services AWS couverts déjà concernés par l'évaluation IRAP sont indiqués sur la page Web Services AWS concernés par le programme de conformité.

  • Puis-je utiliser d'autres services AWS non inclus dans le programme d'évaluation IRAP ?

    Oui. Sous réserve du respect des règlements, politiques et directives en vigueur qui régissent votre utilisation des services cloud. Si l'un des services que vous souhaitez utiliser n'est pas répertorié sur la page Web Services AWS concernés par le programme de conformité, vous pouvez évaluer la pertinence de vos charges de travail avec d'autres services AWS.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »