Je souhaite avoir des informations sur MPAA dans le cloud

La MPAA (Motion Picture Association of America) a établi un ensemble de bonnes pratiques pour stocker, traiter et diffuser de manière sécurisée du contenu et des données multimédias protégés http://www.mpaa.org/content-security-program/. Les entreprises du secteur multimédia utilisent ces bonnes pratiques pour évaluer les risques et la sécurité de leur contenu et de leur infrastructure.

Bien que la MPAA n'offre pas de véritable « certification », les clients du secteur des médias peuvent utiliser le guide d'AWS sur la MPAA illustrant l'alignement d'AWS sur les bonnes pratiques de la MPAA. Ils peuvent alors améliorer leurs activités d'évaluation et de contrôle des risques pour les contenus relatifs à la MPAA sur AWS.

Pour plus d'informations sur les solutions média numériques, rendez-vous à l'adresse suivante :

https://aws.amazon.com/digital-media/


AWS nous a fourni des moyens flexibles pour étendre notre centre de données dans le cloud en toute sécurité, grâce à son offre de Virtual Private Cloud (VPC). Nous pouvons exploiter le matériel, les politiques et les procédures disponibles pour créer un environnement de traitement sûr, fluide, évolutif et dont la gestion ne demande que très peu de ressources.

Theresa Miller Vice-présidente exécutive, Technologies de l'information pour LIONSGATE

Bonne pratique
Garantir la prise en compte par les dirigeant(s)/propriétaire(s) de l'importance de la sécurité des informations en demandant des contrôles réguliers du programme de sécurité des informations et des résultats des évaluations de risques.
 
Implémentation par AWS      
Chez Amazon, l'environnement de contrôle commence au plus au niveau de la société. Les cadres et dirigeants jouent un rôle crucial dans la mise en place des valeurs essentielles à l'entreprise et donnent le ton. Les équipes AWS en charge de la conformité et de la sécurité ont établi un cadre relatif à la sécurité des informations et des politiques basées sur les objectifs de contrôle COBIT (Control Objectives for Information and related Technology). Elles ont également intégré le cadre certifiable ISO 27001 reposant sur les contrôles ISO 27002, les critères des principes de sécurité stipulés dans les Trust Services Principles de l'AICPA (American Institute of Certified Public Accountants), la norme PCI DSS v3.1 et la publication 800-53 Rev 3 du NIST (National Institute of Standards and Technology) concernant les contrôles de sécurité recommandés pour les systèmes d'information fédéraux américains. Les employés d'AWS suivent régulièrement des formations en rapport avec leur poste et portant notamment sur les pratiques d'AWS en matière de sécurité. Des audits de conformité sont réalisés afin que les employés comprennent et suivent les politiques mises en place.      
       
Bonne pratique
     
Développer une procédure formelle d'évaluation des risques de sécurité axée sur les flux de contenu et les ressources sensibles, afin d'identifier et de hiérarchiser les risques de vol ou de divulgation de contenu pertinents par rapport aux installations.      
       
Implémentation par AWS      
AWS a implémenté une politique officielle et documentée d'évaluation des risques, contrôlée et mise à jour au moins une fois par an. Elle en définit l'objectif, la portée, les rôles, les responsabilités et l'engagement de la direction.

Conformément à cette politique, une évaluation de risque annuelle recouvrant toutes les régions et unités opérationnelles d'AWS est menée par l'équipe de conformité d'AWS et contrôlée par la direction d'AWS. Cette procédure s'ajoute à la certification, à l'évaluation et aux rapports de contrôleurs indépendants. L'objectif de l'évaluation de risque est d'identifier les menaces et vulnérabilités d'AWS, de leur attribuer une note de risque, de documenter officiellement cette évaluation et de créer un plan de traitement des risques visant à résoudre les problèmes détectés. Les résultats de l'évaluation de risque sont examinés par la direction d'AWS tous les ans et lorsqu'une modification importante justifie l'exécution d'une nouvelle évaluation de risque avant l'évaluation de risque annuelle.

Les clients conservent la propriété de leurs données (contenu) et sont tenus d'évaluer et de gérer les risques associés aux flux de données afin de satisfaire à leurs exigences de conformité.

Le dispositif de gestion des risques d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.
     
       
Bonne pratique
Identifier les principaux points de contact en matière de sécurité et définir formellement les rôles et responsabilités concernant la protection du contenu et des ressources.
 
Implémentation par AWS      
AWS a établi une organisation pour la sécurité des informations qui est gérée par l'équipe AWS en charge de la sécurité et dirigée par le responsable AWS nommé au poste de Chief Information Security Officer ou CISO. AWS gère et propose une formation de sensibilisation à la sécurité à tous les utilisateurs de système d'information prenant en charge AWS. Cette formation annuelle aborde les sujets suivants : l'objectif de la formation de sensibilisation à la sécurité, l'emplacement de toutes les politiques d'AWS et les procédures d'intervention d'AWS en cas d'incident (notamment des instructions sur la manière de signaler les incidents de sécurité internes et externes).

Au sein d'AWS, les systèmes sont équipés d'une large panoplie d'outils permettant de surveiller les principales métriques opérationnelles. Des alarmes sont configurées pour avertir automatiquement le personnel d'exploitation et les responsables dès le franchissement des seuils d'alerte précoce liés aux principales métriques opérationnelles. Lors du franchissement d'un seuil, le processus d'intervention AWS en cas d'incident est lancé.  L'équipe de gestion des incidents d'Amazon utilise des procédures de diagnostic conformes aux normes du secteur pour résoudre les problèmes lors d'évènements ayant un impact sur l'activité. Des opérateurs assurent une couverture 24 h/24, 7 j/7 et 365 jours par an pour détecter les incidents et gérer leurs répercussions et leur résolution.

Les rôles et les responsabilités d'AWS sont examinées par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.
     
       
Bonne pratique      
Etablir des politiques et des procédures concernant la sécurité des actifs et du contenu, qui doivent couvrir, au minimum, les points suivants :
• Politiques de gestion des ressources humaines
• Utilisation acceptable (notamment, réseaux sociaux, Internet, téléphone, etc.)
• Classification des actifs
• Politiques de gestion des actifs
• Périphériques d'enregistrement numérique (tels que smartphones, appareils photo numériques et caméscopes)
• Politique de gestion des exceptions (par ex., processus de documentation des écarts par rapport à la politique)
• Contrôle par mot de passe (notamment, longueur minimale des mots de passe, économiseurs d'écran)
• Interdiction de retrait d'actifs clients à partir des installations
• Gestion des modifications du système
• Politique de « lanceur d'alerte »
• Politique de sanction (par ex., politique disciplinaire)
     
       
Implémentation par AWS      
AWS a établi un cadre relatif à la sécurité des informations et des politiques basées sur les objectifs de contrôle COBIT (Control Objectives for Information and related Technology). AWS a également intégré le cadre certifiable ISO 27001 reposant sur les contrôles ISO 27002, les critères des principes de sécurité stipulés dans les Trust Services Principles de l'AICPA (American Institute of Certified Public Accountants), la norme PCI DSS v3.0 et la publication 800-53 Rev 3 du NIST (National Institute of Standards and Technology) concernant les contrôles de sécurité recommandés pour les systèmes d'information fédéraux américains.

AWS gère et propose une formation de sensibilisation à la sécurité à tous les utilisateurs de système d'information prenant en charge AWS. Cette formation annuelle aborde les sujets suivants : l'objectif de la formation de sensibilisation à la sécurité, l'emplacement de toutes les politiques d'AWS et les procédures d'intervention d'AWS en cas d'incident (notamment des instructions sur la manière de signaler les incidents de sécurité internes et externes).

Les politiques, procédures et programmes de formation applicables d'AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.
     
Bonne pratique      
Etablir un programme d'intervention formel qui décrit les actions à entreprendre en cas de détection et de signalement d'un incident de sécurité.      
Implémentation par AWS

AWS a mis en œuvre une politique et un programme officiels et documentés d'intervention en cas d'incident. La politique définit l'objectif, la portée, les rôles, les responsabilités et l'engagement de la direction.

AWS adopte une approche en trois étapes pour gérer les incidents :
1. Phase d'activation et de notification : pour AWS, un incident commence par la détection d'un événement. Cela peut être dû à plusieurs sources, notamment :
a. Les métriques et alarmes – AWS possède une connaissance approfondie de la situation, la plupart des problèmes étant détectés rapidement grâce aux fonctions de supervision et d'avertissement disponibles 24 h/24, 7 j/7 et 365 jours par an, assurées par des métriques en temps réel et des tableaux de bord de service. La plupart des incidents sont détectés de cette manière. AWS fait appel à des alarmes disposant d'indicateurs précoces pour identifier de manière proactive les problèmes susceptibles d'avoir un impact sur les clients.
b. Dossier d'incident enregistré par un employé d'AWS.
c. Appels à l'assistance technique par téléphone disponible 24 h/24, 7 j/7 et 365 jours par an.

Si l'événement remplit les critères de définition d'un incident, l'ingénieur de support de garde crée une mission, utilise le système AWS Event Management Tool pour lancer la mission et appelle les résolveurs de programme compétents (par ex., l'équipe de sécurité). Les résolveurs analysent l'incident pour déterminer si d'autres résolveurs doivent être engagés et pour estimer la cause profonde.

2. Phase de récupération – les résolveurs compétents procèdent à une réparation afin de traiter l'incident. Après le dépannage, la réparation et le traitement des composants touchés, le responsable de l'appel attribue les prochaines étapes en ce qui concerne la documentation et les mesures de suivi, et met fin à la mission liée à l'appel.

3. Phase de reconstitution – Une fois les activités de correction appropriées terminées, le responsable de l'appel déclare la fin de la phase de récupération. L'analyse rétrospective et l'analyse des causes profondes de l'incident sont confiées à l'équipe compétente. Les résultats de l'analyse rétrospective sont examinés par des membres compétents de la direction et des mesures appropriées telles que des changements de conception, etc., sont consignées dans le document de correction des erreurs (COE) et font l'objet d'un suivi jusqu'à leur mise en œuvre.

Outre les mécanismes de communication interne décrits ci-dessus, AWS a également mis en œuvre différentes méthodes de communication externe pour soutenir sa clientèle ainsi que la communauté. Des mécanismes ont été instaurés afin d'avertir l'équipe d'assistance clientèle des problèmes opérationnels perturbant les utilisateurs. Un « Tableau de bord de l'état des services » est notamment disponible. Il est tenu à jour par l'équipe d'assistance clientèle afin d'avertir les clients des éventuels problèmes pouvant avoir des répercussions majeures.


Le programme de gestion des incidents d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.

Les clients d'AWS sont tenus de documenter le flux de travail du contenu (données), car ils conservent la propriété et le contrôle de leurs propres systèmes d'exploitation invités, logiciels, applications et données.

Bonne pratique      

Réaliser des vérifications sélectives des antécédents auprès de tout le personnel de la société et des workers externes.

     
       
Implémentation par AWS      
Dans le cadre de procédures de sélection préalables à l'embauche et conformément à la législation en vigueur, AWS procède à une vérification des antécédents criminels des employés, en fonction du poste occupé et du niveau d'accès aux installations AWS.

Le programme de vérification des antécédents d'AWS est examiné par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.
     
       
Bonne pratique      
Imposer à tout le personnel de la société et aux workers externes, au moment de l'embauche puis tous les ans, de signer un accord de confidentialité (par exemple, un accord de non-divulgation) dans lequel figurent les exigences relatives à la gestion et la protection du contenu.      
       
Implémentation par AWS      
Le service juridique d'Amazon assure la gestion et la révision périodique de l'accord de non-divulgation, de manière à refléter au mieux les besoins d'AWS.

L'utilisation par AWS d'accords de non-divulgation est examinée par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes ISO 27001 et FedRAMPsm.
     
       
Bonne pratique      
Consigner et vérifier les accès électroniques aux zones réglementées en cas d'événement suspect.      
       
Implémentation par AWS      

L'accès physique est strictement contrôlé à la fois dans l'enceinte et aux points d'accès du bâtiment par des professionnels de la sécurité utilisant la vidéosurveillance, des systèmes de détection des intrusions et d'autres moyens électroniques.
Toutes les entrées des centres de données AWS, y compris l'entrée principale, la plate-forme de chargement et toutes les portes/trappes du toit, sont protégées par des dispositifs de détection d'intrusion qui déclenchent des alarmes et crée également une alerte dans le système de supervision de sécurité physique centralisé d'AWS si une porte est ouverte de force ou maintenue ouverte.

Outre les mécanismes électroniques, les centres de données AWS sont surveillés par des agents de sécurité formés 24 h/24 et 7 j/7, stationnés au sein et autour du bâtiment. Toutes les alarmes font l'objet d'une enquête menée par un agent de sécurité et la cause profonde de tous les incidents est documentée. Toutes les alarmes sont configurées pour être automatiquement transmises aux échelons supérieurs si aucune réponse n'est donnée dans le délai établi par le SLA.

Les points d'accès physiques aux emplacements des serveurs font l'objet d'enregistrements dans le système de télévision en circuit fermé (CCTV), conformément à la politique de sécurité physique des centres de données d'AWS. Les images sont conservées 90 jours, sauf dans le cas où des dispositions légales ou contractuelles limitent cette durée à 30 jours.

Les mécanismes de sécurité physique sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.

     
       
Bonne pratique      

Mettre en place un système de gestion des ressources pour les contenus, afin d'assurer un suivi détaillé des ressources matérielles (par exemple : client et nouveaux contenus).

     
       
Implémentation par AWS      
La gestion des ressources de contenus appartient aux clients AWS et est mise en œuvre et gérée par ces derniers. Les clients sont tenus de mettre en place le suivi de l'inventaire de leurs ressources matérielles.

Dans le cas des centres de données AWS, tous les nouveaux composants de système d'information, notamment les serveurs, les racks, les périphériques réseau, les disques durs, les composants matériels de système et les matériaux de construction qui sont expédiés aux centres de données et réceptionnés par ces derniers nécessitent la transmission d'une notification préalable au responsable du centre de données, ainsi que son autorisation préalable. Les produits sont livrés à la plate-forme de chargement de chaque centre de données AWS et sont inspectés pour vérifier l'absence de dommage ou d'altération de l'emballage, puis sont signés par un employé à temps plein d'AWS. Sur réception de l'envoi, les produits sont scannés et enregistrés dans le système de gestion des ressources d'AWS et dans le système de suivi d'inventaire des dispositifs.

Une fois réceptionnés, les produits sont placés dans une salle de stockage de matériel située dans le centre de données et dont l'accès nécessite un badge et un code confidentiel. Ils y resteront jusqu'à ce qu'ils soient installés dans le centre de données. Avant d'être autorisés à quitter le centre de données, les produits sont scannés, suivis et désinfectés.        

Les processus et procédures de gestion des ressources AWS sont examinés par des experts externes indépendants dans le cadre d'audits évaluant la conformité avec les normes PCI DSS, ISO 27001 et FedRAMPsm.
     
       
Bonne pratique      
Interdire l'accès à Internet sur les systèmes (ordinateurs de bureau/serveurs) sur lesquels sont traités ou stockés des contenus numériques.      
       
Implémentation par AWS      
Les appareils de délimitation qui emploient des ensembles de règles, des listes de contrôle d'accès (ACL) et des configurations appliquent le flux d'informations entre les structures du réseau. Ces appareils sont configurés en mode « tout interdire » et exigent un pare-feu approuvé paramétré pour permettre la connectivité. Pour en savoir plus sur la gestion des pare-feu réseau AWS, consultez DS-2.0.

Il n'existe aucune fonction de messagerie inhérente sur les ressources AWS et le port 25 n'est pas utilisé. Un client (par ex., un studio, un centre de traitement, etc.) peut utiliser un système pour héberger des fonctions de messagerie, cependant, il lui incombe d'employer les niveaux appropriés de protection contre le spam et les logiciels malveillants aux points d'entrée et de sortie de messagerie, et de mettre à jour les définitions de spam et de logiciel malveillant lorsque de nouvelles versions sont disponibles.

Les ressources Amazon (par ex., les ordinateurs portables) sont configurés avec un logiciel antivirus qui comprend des fonctions de filtrage de messagerie et de détection des logiciels malveillants.

La gestion des pare-feu réseau AWS et le programme antivirus d'Amazon sont examinées par des experts externes indépendants dans le cadre de la conformité continue d'AWS avec les normes SOC, PCI DSS, ISO 27001 et FedRAMPsm.
     
       
blank
blank
Cloud AWS MPAA
MPAA AWS
Conformité MPAA

 

Contactez-nous