Programme IRAP (Information Security Registered Assessors Program)

Aperçu

Le programme IRAP (Information Security Registered Assessors Program) permet aux clients du secteur public australien de s'assurer de la mise en place des contrôles appropriés et de déterminer le modèle de responsabilité adéquat pour répondre aux exigences du manuel de sécurité de l'information (ISM) du secteur public australien rédigé par l'Australian Cyber Security Centre (ACSC).

La protection des données des clients du secteur public australien contre l'accès et la divulgation non autorisée reste l'une des principales préoccupations lors de l'achat et de l'exploitation de services cloud. AWS sait que les clients espèrent la fourniture sécurisée de l'infrastructure AWS et tiennent à disposer de fonctions qui leur permettent de créer des environnements sécurisés. AWS permet aux clients de respecter ces objectifs en privilégiant la sécurité dans ses prestations de services grâce à l'établissement d'un environnement de contrôle solide et à la mise à disposition d'une large gamme de services et de fonctions de sécurité.

Les AWS Cloud services concernés qui ont été évalués par le programme IRAP sont disponibles sur Services AWS concernés par le programme de conformité. Un évaluateur indépendant de l'IRAP a passé les contrôles AWS, y compris les personnes, les processus et la technologie, au crible des exigences de l'ISM. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Le lundi 2 mars 2020, l'Australian Signals Directorate (ASD) et la Digital Transformation Agency (DTA) ont annoncé les résultats de l'évaluation du Cloud Services Certification Program (CSCP) et de l'Information Security Registered Assessors Program (IRAP). L'évaluation a donné lieu aux recommandations suivantes :

    • Arrêter le CSCP et créer de nouvelles directives de sécurité cloud en collaboration avec les acteurs du secteur
    • Développer et améliorer l'IRAP
    • Créer des forums consultatifs entre les gouvernements et les acteurs du secteur aux fins de la cybersécurité
    • Mettre à jour les incitations dans les instructions et orientations administratives et de passation de marchés pour tenir compte de l'arrêt du CSCP

    Depuis le 2 mars 2020, l'ASD n'est plus l'autorité de certification et a cessé toutes les activités de certification, y celles de re-certification. Toutes les certifications ASD et les lettres de re-certification seront annulées à partir du 27 juillet 2020 et le manuel de sécurité de l'information du secteur public australien a été mis à jour pour supprimer l'obligation de sélectionner les services cloud dans la liste des services de cloud certifiés (CCSL).

    L'Australian Government Secure Cloud Strategy permet aux agences du Commonwealth d'auto-évaluer les services cloud en utilisant des pratiques qui servent déjà à évaluer les systèmes de TIC.

    Qu'elle est la situation actuelle ?

    Le 27 juillet 2020, l'Australian Cyber Security Centre (ACSC) et la Digital Transformation Agency (DTA) ont publié un nouveau Guide sur la sécurité dans le cloud. Conçu en collaboration avec les acteurs du secteur, ce document vise à soutenir l'adoption sécurisée des services cloud par le secteur public et le secteur. AWS poursuit ses évaluations IRAP afin de maintenir l'évaluation à jour et d'intégrer de nouveaux services. Les entités du Commonwealth restent responsables de leurs propres activités d'assurance et de gestion des risques. L'Australian Government Secure Cloud Strategy permet aux entités du Commonwealth d'auto-évaluer les services cloud en utilisant des pratiques déjà utilisées pour évaluer les systèmes de TIC. L'ASD compte améliorer les directives existantes en matière de sécurité dans le cloud grâce à l'élaboration de directives co-conçues avec les acteurs du secteur. Avec ces directives, les entités du Commonwealth et les entreprises australiennes vont pouvoir renforcer leur sécurité informatique et leur résilience.

    À ce jour, l'ASD a élaboré un certain nombre de guides utiles pour permettre aux organisations d'entreprendre les évaluations de sécurité appropriées des services cloud. Il est recommandé que toute évaluation aborde clairement les contrôles de sécurité prévus dans l'ISM ainsi que les directives de sécurité cloud de l'ASD, notamment :

    La DTA continue d'encourager les agences du Commonwealth à utiliser l'Australian Government Cloud Strategy pour soutenir leur adoption de services cloud.

  • Afin de mieux servir nos clients au sein du secteur public australien, nous fournissons un ensemble de guides et de documents de sécurité leur permettant d'approfondir leurs connaissances sur la sécurité et la conformité lorsqu'ils utilisent AWS. AWS fournit les documents suivants disponibles publiquement :

    Vous pouvez accéder au pack IRAP PROTECTED via AWS Artifact, un portail libre-service pour l'accès à la demande aux rapports de conformité AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact. Ces informations permettent de planifier, d'architecturer et d'auto-évaluer les systèmes créés dans AWS conformément à l'Australian Government Secure Cloud Strategy. Avec ce pack, les clients du secteur public disposent de tout ce dont ils ont besoin pour évaluer les services AWS au niveau PROTECTED et les agences individuelles peuvent simplifier le processus d'adoption des services AWS. Le pack comprend les documents suivants :

    • La lettre de conformité,
    • Le résumé de la mise en œuvre du contrôle,
    • Le rapport de la deuxième étape de l'IRAP,
    • L'architecture de référence, et
    • Le guide du consommateur.

    Des rapports supplémentaires disponibles conformément à l'Accord de non-divulgation (le cas échéant) évaluent et testent les contrôles mis en œuvre par l'infrastructure AWS. Il s'agit des documents suivants :

    • Rapport du Service Organisation Controls 1 (SOC1), type II
    • Rapport du Service Organisation Controls 2 (SOC2), type II
    • Certificat ISO 27001 déclaration d'applicabilité, et
    • Attestation de conformité PCI et récapitulatif des responsabilités PCI.

    Un Quick Start destiné aux utilisateurs qui souhaitent créer des charges de travail basées sur le cloud utilisant des contrôles AWS conformes aux exigences de l'ISM pour le traitement des données sensibles du secteur public au niveau de classification PROTECTED. Il déploie automatique l'architecture de référence IRAP PROTECTED sur le Cloud AWS en à peu près une heure. L'architecture de référence montre comment plusieurs services AWS sont réunis pour prendre en charge une application Web à plusieurs niveaux avec des services de sécurité et de gestion associés qui répondent aux exigences ISM PROTECTED. Tous les contrôles recommandés ne sont pas inclus dans ce Quick Start, même si cette solution implémente un grand nombre des contrôles présentés dans l'architecture de référence IRAP PROTECTED. Avant d'utiliser cette solution pour stocker des données PROTECTED, pensez à suivre les instructions dans le package IRAP PROTECTED disponible sur AWS Artifact.

    Pour plus d'informations sur les rapports supplémentaires, consultez les programmes sur la conformité AWS.

  • Les évaluateurs de l'IRAP sont des professionnels des technologies de l'information et des communications (TIC) disposant d'une certification ASD, qui ont l'expérience et les qualifications nécessaires en matière de TIC, d'évaluation de la sécurité et de gestion des risques, ainsi qu'une connaissance pointue des exigences de conformité du secteur public australien en matière de sécurité de l'information.

  • Le Manuel de sécurité de l'information (ISM) du secteur public australien décrit un cadre de cybersécurité que les organisations peuvent appliquer pour protéger leurs systèmes de technologies de l'information et de la communication (TIC) contre les cybermenaces. Il complète le cadre PSPF (Protective Security Policy Framework) préparé par le ministère de la Justice du gouvernement australien. L'ISM et le PSPF fournissent des directives et des obligations aux agences du Commonwealth pour la mise en œuvre de contrôles appropriés dans un environnement TIC. En outre, les agences du Commonwealth doivent tenir compte des orientations pertinentes qui leur sont spécifiquement destinées.

    En 2017, la Digital Transformation Agency (agence de transformation numérique, DTA) a travaillé avec d'autres organismes gouvernementaux et acteurs du secteur pour élaborer la Secure Cloud Strategy, une stratégie cloud sécurisée. Cette stratégie vise à assister les organismes gouvernementaux à exploiter la technologie cloud.

    L'ISM est une co-publication de l'Australian Cyber Security Centre (ACSC), le principal organisme du secteur public australien de sécurité cybernétique nationale, et d'un département de l'Australian Signals Directorate (ASD).

    Pour en savoir plus sur le rôle de l'ACSC dans la promotion et l'amélioration de la cybersécurité en Australie, consultez la page web sur la cybersécurité sur le site de l'ASD ou celui de l'ACSC.

  • Oui. Les AWS Cloud services ont été évalués par un évaluateur indépendant de l'IRAP par rapport aux contrôles ISM applicables. Dans le cadre de l'évaluation, l'expert a examiné les contrôles de sécurité mis en place par Amazon pour évaluer le personnel, les processus et les technologies. Cette évaluation est l'assurance qu'AWS dispose des contrôles applicables obligatoires pour les charges de travail du secteur public australien au niveau PROTECTED en ce qui concerne ces produits. Pour plus d'informations, vous pouvez également vous rendre sur le site AWS Artifact pour accéder au pack IRAP PROTECTED de la plus récente évaluation.

  • Pour plus d'informations, consultez la page Web de l'IRAP sur le site Web de l'ACSC.

  • L'évaluation de l'IRAP couvre les services relevant d'AWS dans la région de Sydney et Melbourne. Les services AWS couverts déjà concernés par l'évaluation IRAP sont indiqués sur la page web Services AWS concernés par le programme de conformité.

  • Oui. Sous réserve du respect des règlements, politiques et directives en vigueur qui régissent votre utilisation des services cloud. Si l'un des services que vous souhaitez utiliser n'est pas répertorié sur la page web Services AWS concernés par le programme de conformité, vous pouvez évaluer la pertinence de vos charges de travail avec d'autres services AWS.

Ressources IRAP

Quick Start pour l'architecture de référence IRAP PROTECTED sur le Cloud AWS
Utilisation d'AWS dans le contexte des considérations de confidentialité australiennes
Pack de conformité Essential 8
Pack de conformité ISM
Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »