Programme IRAP de conformité ISM

Je souhaite avoir des informations sur IRAP dans le cloud

Conformité IRAP

La protection des données du gouvernement australien contre l'accès, l'abus et la divulgation reste l'une des principales préoccupations lors de l'achat et de l'exploitation de services de cloud. AWS reconnaît que les clients comptent sur la livraison sécurisée de l'infrastructure AWS et sur l'importance de disposer de fonctionnalités qui leur permettent de créer des environnements plus sécurisés. AWS permet aux clients de respecter ces objectifs en privilégiant la sécurité dans ses prestations de services grâce à l'établissement d'un environnement de contrôle solide et à la mise à disposition d'une large gamme de services et de fonctionnalités de sécurité. Ces services fournissent des contrôles complets sur l'environnement de contrôle informatique du client, simplifient la gestion des services de sécurité et améliorent les résultats en termes de sécurité pour le gouvernement australien.

Le programme IRAP (Information Security Registered Assessors Program) permet au gouvernement australien de s'assurer de la mise en place des contrôles appropriés et de déterminer le modèle de responsabilité approprié pour répondre aux besoins du le manuel de sécurité des informations (ISM) de l'Australian Signals Directorate (ASD).

Un expert IRAP indépendant a examiné les contrôles mis en place par AWS pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondent aux besoins du manuel ISM. Cette évaluation et la lettre de conformité donnent à une autorité de certification l'assurance nécessaire pour certifier l'infrastructure AWS et donner des recommandations à l'autorité d'accréditation quant à l'utilisation appropriée de la plate-forme.

L'accréditation d'un organisme est l'aboutissement d'une évaluation IRAP et la certification officielle de l'ASD agissant en tant qu'autorité de certification pour le gouvernement australien. Cette certification est l'assurance qu'AWS a mis en place les contrôles applicables prévus par le manuel ISM de l'ASD et précède immédiatement l'accréditation d'AWS pour les charges de travail du gouvernement australien.

Cette certification allègera d'un lourd fardeau les organismes ou leurs partenaires commerciaux qui doivent procéder à des évaluations et des certifications de la plate-forme de cloud pour leurs charges de travail, et leur permet de se concentrer sur les processus d'accréditation de leur système.

AWS est un partenaire clé de Healthdirect Australia. En respectant le manuel ISM, nous pouvons fournir à tous les Australiens un accès plus sécurisé à des conseils judicieux sur les soins adaptés à leur problème de santé, à l'endroit et au moment où ils en ont besoin. »

Le financement continu du CSIRO permet à l'équipe We Feel d'utiliser dorénavant AWS pour analyser des centaines de millions de microbillets avant la publication des résultats sur son site Web. Il est ainsi possible d'en retirer des informations révolutionnaires concernant l'état émotionnel d'une grande population diversifiée sur le plan démographique. Les visiteurs du site Web sont en mesure d'affiner les résultats par sexe, par lieu et par qualité émotionnelle. À ce jour, il existe six grandes catégories émotionnelles, allant de la joie à la peur, subdivisées de façon à présenter des états émotionnels plus nuancés, comme l'optimisme et la nervosité. »

« L'évolutivité d'AWS s'est avérée très utile », a déclaré le professeur agrégé Vinsen. « Je peux ajouter très simplement davantage de capacités en fonction de mes besoins. Le recours à AWS nous a permis de traiter plus de 150 Go d'images du ciel et de stocker plus de 400 Go de données d'imagerie chaque mois. » »

« Il suffirait d'avoir un cours populaire et nous pourrions voir plus de 100 000 personnes accéder au système. En utilisant AWS, nous sommes prêts à faire face à ce genre d'augmentation. » »

« Il ne s'agit pas simplement d'infrastructure horaire. C'est une toute nouvelle façon de travailler qui convient parfaitement à notre nouvelle approche en matière de diffusion continue. » »

Comment puis-je sécuriser mes données sur AWS ?

AWS fournit aux clients une large gamme de fonctionnalités de sécurité pour protéger leurs données conformément aux contrôles prévus par le manuel ISM de l'ASD et aux directives et politiques des différents organismes. Nous améliorons sans cesse les outils de sécurité proposés aux clients, et nous publions régulièrement des améliorations pour les fonctionnalités de sécurité existantes. De plus, nous mettons à la disposition de nos clients un large éventail de livres blancs, de documents en ligne et de vidéos sur la sécurité. Nos livres blancs internationaux donnent des recommandations concernant la protection de vos données qui peuvent tout aussi bien s'appliquer aux charges de travail du gouvernement australien.

Comment puis-je profiter au mieux des guides et documents de sécurité IRAP d'AWS ?

Comment puis-je profiter au mieux des guides et documents de sécurité IRAP d'AWS ?

Nos clients au sein du gouvernement australien peuvent tirer parti de notre certification ASD et de la lettre de conformité délivrée par des experts IRAP indépendants pour accélérer la réalisation de leurs objectifs de certification et d'accréditation.

Afin de mieux servir nos clients au sein du gouvernement australien, nous fournissons un package de guides et de documents de sécurité permettant d'approfondir leurs connaissances sur la sécurité et la conformité tout en utilisant AWS comme fournisseur de services de cloud certifié.

En ce qui concerne l'évaluation de l'infrastructure AWS par un organisme de l'IRAP par rapport au manuel ISM, nous fournissons, dans le cadre d'un accord de non-divulgation (si besoin), aux organisations gouvernementales ou leurs partenaires :

- un rapport de l'IRAP concernant la conformité d'AWS avec le manuel ISM ;

- une lettre de certification de l'ASD pour la plate-forme de l'infrastructure AWS ;

- lettre de conformité avec le manuel ISM de l'IRAP ;

- un résumé de la mise en œuvre des contrôles.

Des rapports supplémentaires évaluent et mettent à l'épreuve les contrôles mis en œuvre par l'infrastructure AWS et sont disponibles dans le cadre d'un accord de non-divulgation (si besoin) :

- rapport Service Organisation Controls 1 (SOC1), type II ;

- rapport Service Organisation Controls 2 (SOC2), type II ;

- certificat ISO 27001 et déclaration d'applicabilité ;

- attestation de conformité PCI et récapitulatif des responsabilités PCI.

Pour en savoir plus sur les rapports supplémentaires, consultez les FAQ sur la conformité AWS.

Pour demander l'accès aux documents de sécurité d'AWS pour les clients du gouvernement australien ou les prestataires travaillant avec celui-ci, veuillez contacter l'équipe AWS en charge des ventes et du développement commercial ou envoyer un e-mail à l'adresse awscompliance@amazon.com.

Pourquoi ai-je besoin d'un expert IRAP accrédité ?

Les experts IRAP sont les seules personnes qualifiées pour procéder à l'évaluation d'un système informatique par rapport au manuel ISM du gouvernement australien et décrivent les domaines de conformité et de non-conformité, expliquent les risques résiduels et les mesures correctives, et donnent des recommandations à une autorité de certification.

Quels sont les packages et documents IRAP que nous fournissons à nos clients ?

Contrôle du document	Documentation	Package « agence fédérale »	Package SLED	Partenaire AWS
DRM	Rapport IRAP, étape 2	X
DRM	Rapport de certification de l'ASD	X
Public	Lettre de certification de l'ASD	X	X	X
Public	Lettre de conformité avec le manuel ISM de l'IRAP	X	X	X
DRM	Résumé de la mise en œuvre des contrôles	X	X	X

De quel package de conformité ai-je besoin ?

Le package « agence fédérale » est demandé par les employés du gouvernement fédéral ou les sous-traitants autorisés par le gouvernement qui doivent procéder à une accréditation officielle sur la base de la certification de l'ASD et comprendre comment AWS gère les contrôles applicables du manuel ISM.
Le package SLED s'adresse aux organisations éducatives dépendant d'un gouvernement d'Etat ou local qui s'appuient sur le gouvernement fédéral et sur le cadre PSPF (Protective Security Policy Framework) pour obtenir des recommandations en matière de sécurité de l'information et de gestion des risques.
Le package « partenaire AWS » est destiné aux partenaires qui cherchent à créer des applications sur AWS pour la consommation du gouvernement fédéral et qui ont besoin d'éclaircissements sur les contrôles dont ils héritent et ceux dont ils sont responsables.

Comment sont distribués ces documents ?

· Les documentspublics sont envoyés par e-mail ou publiés sur ce site.

· Les documents liés à un accord de non-divulgation sont envoyés par e-mail sous forme de pièces jointes protégées par un mot de passe dans des fichiers Adobe PDF, après la confirmation et la signature de l'accord. Vous devez posséder Adobe Reader 9.0 ou une version supérieure pour pouvoir y accéder.

· Les documents DRM sont rigoureusement contrôlés l'aide de la plate-forme de gestion des droits numériques Adobe LiveCycle. Vous devez posséder Adobe Reader 9.0 ou une version supérieure pour pouvoir les ouvrir. Ces documents interdisent généralement la copie de contenu et peuvent être consultés pendant une période déterminée uniquement par les personnes qui en font la demande.

Quelles sont les exigences concernant l'accès aux documents ?

Tous les packages nécessitent la conclusion d'accords de non-divulgation appropriés entre l'organisation et AWS. Les demandes formulées par des sous-traitants chargés de réaliser des évaluations de sécurité à des fins d'accréditation au nom d'agences du gouvernement fédéral ou de SLED exigeront également l'autorisation écrite d'un représentant de sécurité du gouvernement, accompagnée d'une autorisation d'octroi d'accès.

Quels documents supplémentaires sont mis à ma disposition pour me permettre d'exécuter en toute confiance des charges de travail du gouvernement australien sur AWS ?

Consultez le livre blanc AWS Risk and Compliance

Les certifications et rapports gérés par AWS sont disponibles sur la page Programmes de conformité et illustrent l'étendue des contrôles mis en place par AWS à l'échelle mondiale. Il convient également de noter qu'AWS bénéficie d'un agrément d'exploitation ATO (Authority to Operate) au titre du programme FedRAMP du gouvernement des Etats-Unis dont les contrôles sont tirés de la spécification NIST800-53Rev4. Ces contrôles sont étendus et mis à la disposition du public, et peuvent donner au client la garantie d'un haut niveau de confiance lors de l'exécution de charges de travail sur AWS.

Des rapports supplémentaires évaluent et mettent à l'épreuve les contrôles mis en œuvre par l'infrastructure AWS :

- rapport Service Organisation Controls 1 (SOC1), type II ;

- rapport Service Organisation Controls 2 (SOC2), type II ;

o disponibilité SOC2 ;

o sécurité SOC2 ;

- rapport Service Organisation Controls 3 (SOC3) ;

- certificat ISO 27001 et déclaration d'applicabilité ;

- attestation de conformité PCI et récapitulatif des responsabilités PCI ;

- récapitulatif des contrôles de sécurité AWS.

Pour demander l'accès aux documents de conformité d'AWS, veuillez contacter l'équipe AWS en charge des ventes et du développement commercial ou envoyer un e-mail à l'adresse awscompliance@amazon.com.

AWS fait-il partie du panel « Whole of Government Cloud Services Panel » du ministère des Finances ?

Oui, AWS est membre du panel depuis le 31 mars 2015. Les organismes bénéficient du meilleur rapport qualité/prix en ce qui concerne les services de cloud et profitent d'un processus d'achat simplifié en faisant appel à un fournisseur pré-évalué et à un cadre contractuel commun. Ce processus d'achat simplifié permet aux organismes d'avancer au gré de leur mission pour offrir de manière efficace des services aux citoyens australiens.

Qu'est-ce que le manuel ISM ?

Le manuel ISM est le manuel de sécurité des informations publié par l'Australian Signals Directorate (ASD), une organisation du ministère de la Défense qui a pour mission de protéger les systèmes et les informations du gouvernement australien.

Pour en savoir plus sur le rôle de l'ASD dans la protection de la sécurité des informations du gouvernement australien, rendez-vous sur : http://www.asd.gov.au/about/roleinfosec.htm

AWS respecte-t-il les exigences du manuel ISM ?

Oui, AWS a fait l'objet d'un audit mené par un expert indépendant de l'Information Security Registered Assessors Program. Dans le cadre de l'évaluation, l'expert a examiné les contrôles de sécurité mis en place par Amazon pour évaluer le personnel, les processus et les technologies afin de s'assurer qu'ils répondaient aux besoins du manuel ISM 2014 de l'ASD.

Où puis-je trouver plus d'informations sur le programme IRAP ?

http://www.asd.gov.au/infosec/irap/index.htm

Quels services AWS sont couverts par l'évaluation du programme IRAP ?

Les services AWS couverts qui appartiennent déjà au champ d'application de l'évaluation IRAP sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

La conformité avec le manuel ISM augmentera-t-elle les coûts de services AWS ?

Non. Aucune région ne verra ses coûts de service augmenter en raison de la conformité d'AWS avec le manuel ISM.

Où puis-je consulter le manuel ISM ?

Manuel ISM

AWS figure-t-il sur la liste des services de cloud certifiés de l'Australian Signals Directorate ?

Oui, AWS a été certifié pour les charges de travail DLM non classées par l'Australian Signals Directorate (ASD) à titre d'autorité de certification et est l'un des premiers fournisseurs à avoir été inscrit sur la liste des services de cloud certifiés (CCSL) de l'ASD.

Les coûts et les risques des agences sont nettement réduits lorsqu'elles s'appuient sur la grande expertise de l'ASD à titre d'autorité de certification pour déterminer si le risque résiduel des services est bien compris et évalué de manière appropriée. Cela améliore considérablement les résultats en termes de sécurité des ministères australiens, tout en réduisant également les coûts associés à ces évaluations.

Pourquoi le manuel ISM est-il important ?

En octobre 2014, le ministère des Finances et le ministère des communications de l'Australie ont publié un document intitulé Australian Government Cloud Computing Policy 3.0, une approche cloud inédite qui visait l'adoption des services de cloud par les agences du gouvernement fédéral.

« Conformément à la politique du gouvernement australien relative au cloud, les agences doivent adopter les services de cloud lorsqu'ils sont adaptés, assurent un niveau adéquat de protection des données et une meilleure rentabilité. »

Le manuel ISM est la norme régissant la sécurité des systèmes de technologies de l'information et de la communication (TIC) du gouvernement. Il complète le cadre PSPF (Protective Security Policy Framework) élaboré par le ministère de la Justice du gouvernement australien. Le manuel ISM traite de la mise en œuvre des contrôles appropriés pour exploiter toutes les classifications des charges de travail dans un environnement informatique.

La conformité avec le manuel ISM permet d'évaluer l'appartenance des fournisseurs de services de cloud à la liste des services de cloud certifiés de l'ASD qui fournit la liste des services de cloud au titre desquels ASD a agi en qualité d'autorité de certification. Les agences doivent disposer d'une certification pour que leurs charges de travail accréditées puissent être exécutées sur les services de cloud fournis par l'intermédiaire du panel « Whole of Government Cloud Services Panel » du ministère des Finances en tant que mécanisme d'achat principal pour les services de cloud destinés au gouvernement australien.

Qu'est-ce qu'un expert accrédité par l'IRAP ?

Il s'agit d'une personne accréditée par l'Australian Signals Directorate (ASD) au titre de l'Information Security Registered Assessors Program comme étant qualifiée pour procéder à des évaluations par rapport au cadre de contrôle de l'ASD, le manuel ISM

Quelles sont les régions AWS couvertes ?

L'évaluation IRAP et la certification ASD concernent la région AWS Sydney. Cependant, AWS traite toutes les régions sur un pied d'égalité en ce qui concerne les contrôles, les politiques et les processus utilisés pour leur exploitation. Les agences doivent accéder à leurs charges de travail et à leurs besoins commerciaux pour déterminer quelle région AWS doit être utilisée.

Est-il possible d'avoir recours à d'autres services ?

Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.

Où puis-je trouver la lettre de conformité au programme IRAP d'experts indépendants pour AWS ?

Lettre de conformité avec le manuel ISM de l'IRAP

Ressources de conformité IRAP

Vous souhaitez plus d'informations sur la conformité IRAP AWS ?

Contactez-nous