Modèle de responsabilité partagée

AWS se charge de protéger l’infrastructure sur laquelle s’exécutent tous les services proposés dans le Cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les services cloud AWS.

La responsabilité du client sera déterminée par les services du Cloud AWS qu’un client sélectionne. Ces services détermineront le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité. Par exemple, un service tel qu'Amazon Elastic Compute Cloud (Amazon EC2) est placé dans la catégorie Infrastructure as a Service (IaaS) et dans ce sens, le client doit effectuer toutes les configurations de sécurité et tâches de gestion nécessaires. Le client qui déploie une instance Amazon EC2 est responsable de la gestion du système d'exploitation invité (mises à jour et correctifs de sécurité compris), des logiciels, applications et utilitaires installés par le client sur la ou les instances, ainsi que de la configuration du pare-feu fourni par AWS (groupe de sécurité) sur chaque instance. Pour les services compacts, tels qu'Amazon S3 et Amazon DynamoDB, AWS exploite la couche d'infrastructure, le système d'exploitation et les plates-formes, tandis que les clients ont accès aux points de terminaison pour stocker et extraire des données. Le client est responsable de la gestion de ses données (y compris des options de chiffrement), du classement de ses ressources et de l'utilisation des outils IAM pour appliquer les autorisations appropriées.

Ce modèle de responsabilité partagée entre le client et AWS s’étend également aux contrôles informatiques. Tout comme la responsabilité de l’exécution de l’environnement informatique est partagée entre AWS et ses clients, la gestion, l’exécution et la vérification des contrôles informatiques le sont également. AWS peut aider à alléger la charge de travail des clients par rapport aux contrôles d’exécution en gérant les contrôles associés à l’infrastructure physique déployée dans l’environnement AWS ayant pu être gérée auparavant par le client. Comme le déploiement dans AWS est différent pour chacun des clients, ces derniers peuvent profiter du passage de la gestion de certains contrôles informatiques à AWS, ce qui crée un (nouvel) environnement de contrôle distribué. Les clients peuvent alors utiliser la documentation disponible sur le contrôle et la conformité d'AWS pour réaliser leurs procédures d'évaluation et de vérification, si besoin. Vous trouverez ci-dessous des exemples de contrôles gérés par AWS et/ou par des clients AWS.

Les contrôles qu’un client acquiert à partir d’AWS.

• Contrôles physiques et de l'environnement

Les contrôles qui s’appliquent à la couche de l’infrastructure et aux couches du client, mais dans des contextes ou des perspectives complètement distincts. Dans un contexte de contrôle partagé, AWS fournit les prérequis de l'infrastructure et de son côté, le client doit assurer la mise en œuvre de ses propres contrôles dans le cadre de son utilisation des services AWS. En voici quelques exemples :

• Gestion des correctifs : AWS est responsable de la correction des défauts liés à l'infrastructure, mais le client est responsable de la correction de son ou ses systèmes d'exploitation et applications invités.
• Gestion de la configuration : AWS entretient la configuration de ses infrastructures, mais le client doit configurer ses propres systèmes d'exploitation, bases de données et applications invités.
• Connaissance et formation : AWS forme les collaborateurs AWS, mais le client est responsable de la formation de ses propres collaborateurs.

Les contrôles étant uniquement sous la responsabilité du client en fonction de l’application déployée dans les services AWS. En voici quelques exemples :

• la protection du service et des communications ou la sécurité de zone pouvant nécessiter de la part du client un routage, ou des données de zone au sein d'environnements de sécurité particuliers.