MPA et la sécurité de Studio

Présentation

La MPA (Motion Picture Association) a établi un ensemble de bonnes pratiques pour stocker, traiter et diffuser de manière sécurisée du contenu et des données multimédias protégés. Les entreprises du secteur multimédia utilisent ces bonnes pratiques pour évaluer les risques et la sécurité de leur contenu et de leur infrastructure. La MPA et la CDSA (Content Delivery & Security Association) ont créé conjointement un nouveau partenariat nommé le Trusted Partner Network (TPN). Le programme TPN cherche à accroître la prise en compte de la sécurité, la préparation et les fonctionnalités au sein du secteur des multimédias et du divertissement. AWS continue de suivre les références de sécurité du contenu du TPN et d'y contribuer.

AWS offre également un manuel de renforcement tiers pour la gestion d'actifs multimédias, la gestion d'actifs numériques et les effets visuels/rendus, disponible sur AWS Artifact.

  • Bonne pratique

    Garantir la prise en compte par le ou les dirigeants/propriétaires de l'importance de la fonction de sécurité des informations en demandant des contrôles réguliers du programme de sécurité des informations et des résultats des évaluations de risques.

    Implémentation par AWS

    L'environnement de contrôle d'Amazon commence au plus haut niveau de l'entreprise. Les hauts dirigeants et responsables jouent un rôle important dans l'établissement du ton et des valeurs fondamentales de l'entreprise. AWS a établi un cadre relatif à la sécurité des informations et des politiques basées sur le cadre System & Organization Control (SOC) et a intégré efficacement le cadre certifiable ISO 27001 reposant sur les contrôles ISO 27002, la norme PCI DSS v3.2 et la publication 800-53 Rev 3 du NIST (National Institute of Standards and Technology) concernant les contrôles de sécurité recommandés pour les systèmes d'information fédéraux américains. Les employés d'AWS suivent régulièrement des formations en rapport avec leur poste et portant notamment sur les pratiques d'AWS en matière de sécurité. Des audits de conformité sont réalisés afin que les employés comprennent et suivent les politiques mises en place.

  • Bonne pratique

    Développer une procédure formelle d'évaluation des risques de sécurité axée sur les flux de contenu et les ressources sensibles, afin d'identifier et de hiérarchiser les risques de vol ou de divulgation de contenu pertinent par rapport aux installations.

    Implémentation par AWS

    AWS a implémenté une politique officielle et documentée d'évaluation des risques, contrôlée et mise à jour au moins une fois par an. Elle en définit l'objectif, la portée, les rôles, les responsabilités et l'engagement de la direction.

    Conformément à cette politique, une évaluation de risque annuelle recouvrant toutes les régions et unités opérationnelles d'AWS est menée par l'équipe de conformité d'AWS et contrôlée par la direction d'AWS. Cette procédure s'ajoute à la certification, à l'évaluation et aux rapports de contrôleurs indépendants. L'objectif de l'évaluation de risque est d'identifier les menaces et vulnérabilités d'AWS, de leur attribuer une note de risque, de documenter officiellement cette évaluation et de créer un plan de traitement des risques visant à résoudre les problèmes détectés. Les résultats de l'évaluation de risque sont examinés régulièrement par la direction d'AWS et lorsqu'une modification importante justifie l'exécution d'une nouvelle évaluation de risque avant celle effectuée annuellement.

    Les clients conservent la propriété de leurs données (contenu) et sont tenus d'évaluer et de gérer les risques associés aux flux de données afin de satisfaire à leurs exigences de conformité.

    Le dispositif de gestion des risques d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Identifier les principaux points de contact en matière de sécurité et définir formellement les rôles et responsabilités concernant la protection du contenu et des ressources.

    Implémentation par AWS

    AWS a établi une organisation pour la sécurité des informations qui est gérée par l'équipe AWS en charge de la sécurité et dirigée par le responsable AWS nommé au poste de Chief Information Security Officer ou CISO. AWS gère et propose une formation de sensibilisation à la sécurité à tous les utilisateurs de système d'information prenant en charge AWS. Cette formation annuelle aborde les sujets suivants : l'objectif de la formation de sensibilisation à la sécurité, l'emplacement de toutes les politiques d'AWS et les procédures d'intervention d'AWS en cas d'incident (notamment des instructions sur la manière de signaler les incidents de sécurité internes et externes).

    Au sein d'AWS, les systèmes sont équipés d'une large panoplie d'outils permettant de surveiller les principales métriques opérationnelles. Des alarmes sont configurées pour avertir automatiquement le personnel d'exploitation et les responsables dès le franchissement des seuils d'alerte précoce liés aux principales métriques opérationnelles. Lors du franchissement d'un seuil, le processus d'intervention AWS en cas d'incident est lancé. L'équipe de gestion des incidents d'Amazon utilise des procédures de diagnostic conformes aux normes du secteur pour résoudre les problèmes lors d'évènements ayant un impact sur l'activité. Des opérateurs assurent une couverture 24 h/24, 7 j/7 et 365 jours par an pour détecter les incidents et gérer leurs répercussions et leur résolution.

    Les rôles et les responsabilités d'AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Établir des politiques et des procédures concernant la sécurité des ressources et du contenu ; les politiques doivent au moins aborder les sujets suivants :
    • Politique de ressources humaines
    • Utilisation acceptable (par ex., réseaux sociaux, Internet, téléphone, etc.)
    • Classification de texte
    • Politiques de gestion des ressources
    • Appareils d'enregistrement numériques (par ex., smartphones, appareils photo numériques, caméscopes)
    • Politique d'exception (par ex., processus de documentation des écarts par rapport à la politique)
    • Contrôles de mot de passe (par ex., longueur minimale du mot de passe, économiseurs d'écran)
    • Interdiction de retrait des ressources client du site
    • Gestion des modifications de système
    • Politique de dénonciation
    • Politique de sanction (par ex., politique disciplinaire)

    Implémentation par AWS

    AWS a établi un cadre relatif à la sécurité des informations et des politiques basées sur le cadre System & Organization Control (SOC) et a intégré efficacement le cadre certifiable ISO 27001 reposant sur les contrôles ISO 27002, la norme PCI DSS v3.2 et la publication 800-53 Rev 3 du NIST (National Institute of Standards and Technology) concernant les contrôles de sécurité recommandés pour les systèmes d'information fédéraux américains.

    AWS gère et propose une formation de sensibilisation à la sécurité à tous les utilisateurs de système d'information prenant en charge AWS. Cette formation annuelle aborde les sujets suivants : l'objectif de la formation de sensibilisation à la sécurité, l'emplacement de toutes les politiques d'AWS et les procédures d'intervention d'AWS en cas d'incident (notamment des instructions sur la manière de signaler les incidents de sécurité internes et externes).

    Les politiques, procédures et programmes de formation applicables d'AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Établir un programme d'intervention formel qui décrit les actions à entreprendre en cas de détection et de signalement d'un incident de sécurité.

    Implémentation par AWS

    AWS a mis en œuvre une politique et un programme officiels et documentés d'intervention en cas d'incident. La politique définit l'objectif, la portée, les rôles, les responsabilités et l'engagement de la direction.

    AWS adopte une approche en trois étapes pour gérer les incidents :

    1. Phase d'activation et de notification : pour AWS, un incident commence par la détection d'un événement. Ceci peut provenir de plusieurs sources, telles que :

    a. a.Métriques et alarmes – AWS possède une connaissance approfondie de la situation, la plupart des problèmes étant détectés rapidement grâce aux fonctions de supervision et d'avertissement disponibles 24 h/24, 7 j/7 et 365 jours par an, assurées par des métriques en temps réel et des tableaux de bord de service. La plupart des incidents sont détectés de cette manière. AWS fait appel à des alarmes disposant d'indicateurs précoces pour identifier de manière proactive les problèmes susceptibles d'avoir un impact sur les clients.
    b. Dossier d'incident enregistré par un employé d'AWS.
    c. Appels à l'assistance technique par téléphone disponible 24 h/24, 7 j/7 et 365 jours par an.

    Si l'événement remplit les critères de définition d'un incident, l'ingénieur de support de garde crée une mission, utilise les outils de gestion des événements d'AWS pour lancer la mission et appelle les résolveurs de programme compétents. Les résolveurs analysent l'incident pour déterminer si d'autres résolveurs doivent être engagés et pour estimer la cause profonde.

    2. Phase de récupération – les résolveurs compétents procèdent à une réparation afin de traiter l'incident. Après le dépannage, la réparation et le traitement des composants touchés, le responsable de l'appel attribue les prochaines étapes en ce qui concerne la documentation et les mesures de suivi, et met fin à la mission liée à l'appel.

    3. Phase de reconstitution – Une fois les activités de correction appropriées terminées, le responsable de l'appel déclare la fin de la phase de récupération. L'analyse rétrospective et l'analyse des causes profondes de l'incident sont confiées à l'équipe compétente. Les résultats de l'analyse rétrospective sont examinés par des membres compétents de la direction et des mesures appropriées telles que des changements de conception, etc., sont consignées dans le document de correction des erreurs (COE) et font l'objet d'un suivi jusqu'à leur mise en œuvre.

    Outre les mécanismes de communication interne décrits ci-dessus, AWS a également mis en œuvre différentes méthodes de communication externe pour soutenir sa clientèle ainsi que la communauté. Des mécanismes ont été instaurés afin d'avertir l'équipe d'assistance clientèle des problèmes opérationnels perturbant les utilisateurs. Un « Tableau de bord de l'état des services » est notamment disponible. Il est tenu à jour par l'équipe d'assistance clientèle afin d'avertir les clients des éventuels problèmes pouvant avoir des répercussions majeures.

    Le programme de gestion des incidents d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

    Les clients d'AWS sont tenus de documenter le flux de travail du contenu (données), car ils conservent la propriété et le contrôle de leurs propres systèmes d'exploitation invités, logiciels, applications et données.

  • Bonne pratique

    Réaliser des vérifications sélectives des antécédents auprès de tout le personnel de la société et des travailleurs externes.

    Implémentation par AWS

    Dans le cadre de procédures de sélection préalables à l'embauche et conformément à la législation en vigueur, AWS procède à une vérification des antécédents criminels des employés, en fonction du poste occupé et du niveau d'accès aux installations AWS.

    Le programme de vérification des antécédents d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Imposer à tout le personnel de la société et aux travailleurs externes, au moment de l'embauche puis tous les ans, de signer un accord de confidentialité (par exemple, un accord de non-divulgation) dans lequel figurent les exigences relatives à la gestion et la protection du contenu.

    Implémentation par AWS

    Le service juridique d'Amazon assure la gestion et la révision périodique de l'accord de non-divulgation, de manière à refléter au mieux les besoins d'AWS.

    L'utilisation par AWS d'accords de non-divulgation est examinée par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes ISO 27001 et FedRAMP.

  • Bonne pratique

    Consigner et vérifier les accès électroniques aux zones réglementées en cas d'évènement suspect.

    Implémentation par AWS

    L'accès physique est strictement contrôlé à la fois dans l'enceinte et aux points d'accès du bâtiment par des professionnels de la sécurité utilisant la vidéosurveillance, des systèmes de détection des intrusions et d'autres moyens électroniques.

    Toutes les entrées des centres de données AWS, y compris l'entrée principale, la plate-forme de chargement et toutes les portes/trappes du toit, sont protégées par des dispositifs de détection d'intrusion qui déclenchent des alarmes et crée également une alerte dans le système de supervision de sécurité physique centralisé d'AWS si une porte est ouverte de force ou maintenue ouverte.

    Outre les mécanismes électroniques, les centres de données AWS sont surveillés par des agents de sécurité formés 24 h/24 et 7 j/7, stationnés au sein et autour du bâtiment. Toutes les alarmes font l'objet d'une enquête menée par un agent de sécurité et la cause profonde de tous les incidents est documentée. Toutes les alarmes sont configurées pour être automatiquement transmises aux échelons supérieurs si aucune réponse n'est donnée dans le délai établi par le SLA.

    Les points d'accès physiques aux emplacements des serveurs font l'objet d'enregistrements dans le système de télévision en circuit fermé (CCTV), conformément à la politique de sécurité physique des centres de données d'AWS. Les images sont conservées 90 jours, sauf dans le cas où des dispositions légales ou contractuelles limitent cette durée à 30 jours.

    Les mécanismes de sécurité physique AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Mettre en place un système de gestion des ressources pour les contenus, afin d'assurer un suivi détaillé des ressources matérielles (par exemple : client et nouveaux contenus).

    Implémentation par AWS

    La gestion des ressources de contenus appartient aux clients AWS et est mise en œuvre et gérée par ces derniers. Les clients sont tenus de mettre en place le suivi de l'inventaire de leurs ressources matérielles.

    Dans le cas des centres de données AWS, tous les nouveaux composants de système d'information, notamment les serveurs, les racks, les périphériques réseau, les disques durs, les composants matériels de système et les matériaux de construction qui sont expédiés aux centres de données et réceptionnés par ces derniers nécessitent la transmission d'une notification préalable au responsable du centre de données, ainsi que son autorisation préalable. Les produits sont livrés à la plate-forme de chargement de chaque centre de données AWS et sont inspectés pour vérifier l'absence de dommage ou d'altération de l'emballage, puis sont signés par un employé à temps plein d'AWS. Sur réception de l'envoi, les produits sont scannés et enregistrés dans le système de gestion des ressources d'AWS et dans le système de suivi d'inventaire des dispositifs.

    Une fois réceptionnés, les produits sont placés dans une salle de stockage de matériel située dans le centre de données et dont l'accès nécessite un badge et un code confidentiel. Ils y resteront jusqu'à ce qu'ils soient installés dans le centre de données. Avant d'être autorisés à quitter le centre de données, les produits sont scannés, suivis et désinfectés.

    Les processus et procédures de gestion des ressources AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes PCI DSS, ISO 27001 et FedRAMP.

  • Bonne pratique

    Interdire l'accès à Internet sur les systèmes (ordinateurs de bureau/serveurs) sur lesquels sont traités ou stockés des contenus numériques.

    Implémentation par AWS

    Les appareils de délimitation qui emploient des ensembles de règles, des listes de contrôle d'accès (ACL) et des configurations appliquent le flux d'informations entre les structures du réseau. Ces appareils sont configurés en mode « tout interdire » et exigent un pare-feu approuvé paramétré pour permettre la connectivité. Pour en savoir plus sur la gestion des pare-feu réseau AWS, consultez DS-2.0.

    Il n'existe aucune fonction de messagerie inhérente sur les ressources AWS et le port 25 n'est pas utilisé. Un client (par ex., un studio, un centre de traitement, etc.) peut utiliser un système pour héberger des fonctions de messagerie. Cependant, il lui incombe d'employer les niveaux appropriés de protection contre le spam et les logiciels malveillants aux points d'entrée et de sortie de messagerie, et de mettre à jour les définitions de spam et de logiciel malveillant lorsque de nouvelles versions sont disponibles.

    Les ressources Amazon (par ex., les ordinateurs portables) sont configurés avec un logiciel antivirus qui comprend des fonctions de filtrage de messagerie et de détection des logiciels malveillants.

    La gestion des pare-feux réseau AWS et le programme antivirus d'Amazon sont examinés par des experts externes indépendants dans le cadre de la conformité continue d'AWS avec les normes SOC, PCI DSS, ISO 27001 et FedRAMP.

  • En dehors de la MPA, la plupart des studios de contenu (tels que Disney/Marvel) ont leurs propres exigences de sécurité et demandent aux fournisseurs de services et des services à valeur ajoutée que leur environnement basé sur le cloud ou sur site soit contrôlé par un ou plusieurs auditeurs tiers. Le rendu en rafale basé sur le cloud du contenu d'effets visuels/d'animation pour les titres pré-publiés en est un bon exemple.

    AWS a travaillé avec un auditeur tiers pour faire évaluer la plate-forme AWS concernant l'environnement de rendu d'effets visuels/d'animation. L'auditeur tiers a également composé un document modèle des bonnes pratiques de sécurité impliquant des contrôles de sécurité AWS basés sur les principales exigences de Studio. Ce document peut être utilisé pour créer un environnement de rendu d'effets visuels/d'animation approuvé par Studio sur AWS.

    Un guide de renforcement de la gestion des actifs/du contenu multimédias de studios en pré-version et les contrôles de sécurité des studios sont disponibles sur AWS Artifact.

Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »