Guide de solutions de conformité AWS


Référentiel de ressources et de processus requis fréquemment utilisés pour assurer les responsabilités de conformité sur AWS.

Bienvenue dans le guide de solutions de conformité AWS ! Ce guide est conçu pour vous fournir un référentiel de ressources et de processus requis fréquemment utilisés pour assurer les responsabilités de votre conformité sur AWS.

Chez AWS, la sécurité est notre priorité absolue. Aujourd'hui, AWS protège des millions de clients actifs à travers le monde, des grandes entreprises et organisations gouvernementales aux start-up et organisations à but non lucratif. De ses relations, nous avons développé les meilleures ressources de leur catégorie pour permettre aux clients de n'importe quel secteur d'activité de comprendre rapidement comment respecter les exigences en matière de conformité dans le cloud AWS. Les clients AWS héritent de tous les avantages de notre expérience, notamment les meilleures pratiques en matière de politiques de sécurité, d'architecture et de processus opérationnels validées selon nos cadres d'assurance externes.

AWS communique son environnement de sécurité et de contrôle pertinent aux clients de la manière suivante :

  • certifications du secteur et attestations délivrées par des tiers indépendants cités ci-dessous ;
  • informations concernant les pratiques d'AWS en matière de sécurité et de contrôle dans nos livres blancs et nos contenus web ;
  • certificats, rapports et autre documentation fournis directement aux clients AWS dans le cadre de l'accord de non-divulgation (NDA).

Solutions de conformité


La meilleure pratique pour accéder aux rapports de conformité AWS consiste à passer par la console via AWS Artefact. AWS Artefact fournit aux clients un accès en libre service à la demande aux derniers rapports de conformité AWS. Lorsqu'AWS publie de nouveaux reports, ceux-ci sont immédiatement disponibles au téléchargement dans AWS Artefact. En plus de l'accès à la demande, voici trois avantages que l'utilisation d'AWS Artefact vous procure :

  1. Ce service ne nécessite pas la saisie d'une carte de crédit. La création d'un compte et l'utilisation du portail AWS Artefact sont gratuites.
  2. Le service vous fournit la possibilité de configurer des comptes pour d'autres utilisateurs via IAD.
  3. Son accès est facilité par l'accord cliquable.

Notez que vous devez signer un accord de non-divulgation pour accéder aux attestations, certifications et rapports Service Organization Controls (SOC) tiers et pour accéder aux autres rapports de conformité pertinents. Les exceptions sont la certification AWS ISO 27001 et les rapports AWS SOC 3 qui sont disponibles publiquement.

Si vous possédez un compte AWS et que vous êtes prêt à commencer à utiliser AWS Artefact, vous pouvez utiliser les ressources ci-dessous pour vous familiariser avec cette fonctionnalité depuis la console. Si vous ne disposez pas encore d'un compte AWS, vous pouvez en créer un en suivant ces étapes.

Site web AWS Artefact - ce site web vous apportera les informations de base concernant Artefact notamment un Guide de mise en route rapide contenant des instructions étape par étape sur la manière dont vous connecter à la console et télécharger un rapport, ainsi qu'une page de FAQ relative à AWS Artefact contenant une liste complète de toutes les questions posées les plus fréquemment.

Vous trouverez ci-dessous les scénarios les plus susceptibles d'entraîner des questions :

Dans le cas où vous auriez besoin d'aide pour remplir un questionnaire de sécurité pour rendre compte de vos positions en matière de sécurité et de conformité AWS, AWS possède une approche recommandée, conçue pour vous fournir les ressources pour traiter de manière appropriée vos questions de sécurité et de conformité dans le cadre du cloud et du modèle économique AWS. Cette procédure assure que tous nos clients obtiennent des réponses cohérentes vérifiées par nos auditeurs tiers.

AWS Artefact est le premier endroit sur lequel vous rendre, car celui-ci héberge tous les rapports de conformité. AWS est soumis à plusieurs audits tout au long de l'année par des auditeurs tiers qui sont conduits pour la plupart conformément aux normes de sécurité standards telles qu’ISO 27001, PCI et SOC. Vous pouvez utiliser ces rapports pour répondre à des questions sur n'importe quel questionnaire de sécurité que vous pourriez recevoir.

De plus, il existe certains types de ressources disponibles en ligne pour fournir des réponses à certaines des questions les plus fréquemment posées. Les deux documents les plus fréquemment utilisés pour les questionnaires sont :

Questionnaire Consensus Assessments Initiative –  La Cloud Security Alliance (CSA) est une organisation à but non lucratif dont l'objectif est de promouvoir l'utilisation des meilleures pratiques en termes d'assurance de sécurité dans le cloud computing. Le questionnaire Consensus Assessments Initiative mis au point par la CSA consiste en un ensemble de questionnaires qui pourrait être posé par un consommateur cloud et/ou par un auditeur à un fournisseur cloud. Il fournit une série de questions de sécurité, de contrôle et sur les processus pouvant être utilisés pour un large ensemble d'utilisations, notamment dans la sélection du fournisseur cloud et l'évaluation de la sécurité. Ce document contient les réponses AWS au questionnaire CSA.

Livre blanc AWS Risk and Compliance : ce document est conçu pour aider les clients AWS à intégrer AWS dans leur cadre de contrôle existant, sur lequel repose leur environnement informatique. Il inclut une approche de base pour l'évaluation des contrôles mis en place par AWS et fournit des informations visant à aider les clients dans leurs efforts d'intégration à leur environnement de contrôle. Il contient également des informations spécifiques concernant AWS et des questions générales de conformité par rapport à l'utilisation du cloud computing. Enfin, on y trouve des descriptions détaillées de l'ensemble des certifications, programmes, rapports et attestations tiers AWS. Le questionnaire de la CSA se trouve en annexe de ce document.

Si vous avez toujours besoin d'aide pour répondre à une question, contactez votre gestionnaire de compte du service commercial AWS qui pourra vous aider à vous rediriger vers les ressources appropriées.

Exemples de questionnaire de sécurité

Contrôle Question Réponse Documents de référence AWS
Chiffrement Les services fournis prennent-ils en charge le chiffrement ?

Oui. AWS permet à ses clients d'utiliser leurs propres mécanismes de chiffrement pour pratiquement tous les services, notamment S3, EBS, SimpleDB et EC2. Les tunnels IPSec menant aux VPC sont également chiffrés. Amazon S3 propose également un chiffrement côté serveur en option à ses clients. Les clients peuvent également utiliser des technologies de chiffrement tierces.

Livre blanc sur la sécurité AWS
Contrôles physiques et de l'environnement

Les contrôles physiques et de l'environnement sont-ils effectués par le fournisseur cloud spécifié ?

Oui. Ceux-ci sont décrits précisément dans le rapport SOC 1 Type II. De plus, d'autres certifications prises en charge par AWS comme ISO 27001 et FedRAMPsm nécessitent de meilleures pratiques en termes de contrôles physiques et de l'environnement.

Package FedRAMP, rapport ISO 27001, SOC 1
Formation/prise en compte des ressources humaines

Existe-t-il des programmes de sensibilisation à la sécurité formels selon les rôles pour les problèmes de gestion des données et d'accès (par exemple, les services partagés, la nationalité, les modèles de livraison dans le cloud, la séparation des implications des responsabilités et les conflits d'intérêts) dans le cloud pour toutes les personnes ayant un accès aux données des locataires ?

Oui. Conformément à la norme ISO 27001, tous les employés AWS reçoivent une formation périodique sur la sécurité des informations qui nécessite une confirmation pour la terminer. Des audits de conformité sont réalisés de temps en temps afin de valider que les employés comprennent et suivent les politiques mises en place.

Reportez-vous aux rapports de conformité SOC, PCI DSS, ISO 27001 et FedRAMP

Voici quelques-uns des défis les plus courants rencontrés avec HIPAA BAA. Pour obtenir l'accès à davantage de ressources liées au BAA, notamment une liste complète de la FAQ HIPAA, des vidéos d'instruction BAA, des livres blancs, etc. rendez-vous sur la page de conformité HIPAA AWS principale.

Q : Puis-je obtenir une version papier de mon BAA existant ?

R : Il n'y a aucune différence entre les versions BAA dans Artefact et une version papier. Lorsque vous utilisez Artefact, vous devez toujours pouvoir télécharger une copie du BAA avant et après avoir accepté les conditions. Si vous possédez un BAA existant hors ligne, vous pouvez contacter votre commercial pour en obtenir une copie.

Q : J'ai besoin d'une pièce à conviction pour confirmer qu'un ou plusieurs comptes ont été ajoutés à un BAA existant ou j'ai besoin d'une preuve qu'un ou plusieurs comptes sous couverts par un BAA.

R : AWS ne publie pas de pièce à conviction à jour lorsque des comptes supplémentaires sont couverts par un BAA existant. En utilisant Artefact, vous pouvez immédiatement affecter de nouveaux comptes en libre service dans la console. Après qu'un BAA a été accepté dans Artefact, vous pouvez vous connecter à la console avec l'ID de compte et confirmer que le statut est actif. Si vous souhaitez ajouter un nouveau compte, vous pouvez le faire en libre-service.  Pour confirmer le statut de couverture et partager le BAA avec les auditeurs ou les régulateurs, un fichier PDF est disponible au téléchargement. De plus, le statut sert également de preuve de couverture.

Q : Je n'ai pas la possibilité d'accéder au BAA ou je ne peux pas vérifier les cases de l'accord de non-divulgation.

R : Ce problème provient d'une erreur d'autorisations. La personne ou l'équipe gérant les requêtes IAM pour votre compte AWS peut résoudre ce problème en modifiant les autorisations. Cliquez ici, pour obtenir plus d'informations sur la configuration des comptes IAM.

Plus de ressources AWS en matière de conformité


header-icon_apn-partner-programs-orange

La page Services concernés détaillent les services actuellement concernés et ceux qui sont en cours. Vous pouvez également contacter le gestionnaire de compte du service commercial AWS et un architecte de solutions concernant vos besoins spécifiques pour un service en particulier.

header-icon_apn-partner-programs-orange

Le Blog sur la sécurité AWS est bon moyen de vous informer des dernières mises à jour concernant les programmes de sécurité AWS.

header-icon_apn-partner-programs-orange

Pour plus d'informations sur certaines des expériences client actuelles AWS, rendez-vous sur notre page de témoignages de clients qui répertorie les études de cas de nos clients pour l'ensemble des secteurs.

header-icon_apn-partner-programs-orange

Pour plus d'informations sur un régime de conformité en particulier, reportez-vous à leurs FAQ respectives aux pages suivantes :

header-icon_apn-partner-programs-orange

Le parcours de formation destiné aux auditeurs AWS est une ressource conçue pour les professionnels de l'audit, de la conformité et des affaires juridiques qui souhaitent apprendre à respecter les normes en vigueur pour leurs opérations internes à l'aide de la plateforme d'AWS.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »