Guide de solutions de conformité AWS

La meilleure pratique pour accéder aux rapports de conformité AWS consiste à passer par la console via AWS Artefact. AWS Artefact fournit aux clients un accès en libre service à la demande aux derniers rapports de conformité AWS. Lorsqu'AWS publie de nouveaux reports, ceux-ci sont immédiatement disponibles au téléchargement dans AWS Artefact. En plus de l'accès à la demande, voici trois avantages que l'utilisation d'AWS Artefact vous procure :

1. Ce service ne nécessite pas la saisie d'une carte de crédit. La création d'un compte et l'utilisation du portail AWS Artefact sont gratuites.
2. Le service vous fournit la possibilité de configurer des comptes pour d'autres utilisateurs via IAD.
3. Son accès est facilité par l'accord cliquable.

Notez que vous devez signer un accord de non-divulgation pour accéder aux attestations, certifications et rapports Service Organization Controls (SOC) tiers et pour accéder aux autres rapports de conformité pertinents. Les exceptions sont la certification AWS ISO 27001 et les rapports AWS SOC 3 qui sont disponibles publiquement.

Si vous possédez un compte AWS et que vous êtes prêt à commencer à utiliser AWS Artefact, vous pouvez utiliser les ressources ci-dessous pour vous familiariser avec cette fonctionnalité depuis la console. Si vous ne disposez pas encore d'un compte AWS, vous pouvez en créer un en suivant ces étapes.

Site web AWS Artefact - ce site web vous apportera les informations de base concernant Artefact notamment un Guide de mise en route rapide contenant des instructions étape par étape sur la manière dont vous connecter à la console et télécharger un rapport, ainsi qu'une page de FAQ relative à AWS Artefact contenant une liste complète de toutes les questions posées les plus fréquemment.

Vous trouverez ci-dessous les scénarios les plus susceptibles d'entraîner des questions :

Dans le cas où vous auriez besoin d'aide pour remplir un questionnaire de sécurité pour rendre compte de vos positions en matière de sécurité et de conformité AWS, AWS possède une approche recommandée, conçue pour vous fournir les ressources pour traiter de manière appropriée vos questions de sécurité et de conformité dans le cadre du cloud et du modèle économique AWS. Cette procédure assure que tous nos clients obtiennent des réponses cohérentes vérifiées par nos auditeurs tiers.

AWS Artefact est le premier endroit sur lequel vous rendre, car celui-ci héberge tous les rapports de conformité. AWS est soumis à plusieurs audits tout au long de l'année par des auditeurs tiers qui sont conduits pour la plupart conformément aux normes de sécurité standards telles qu’ISO 27001, PCI et SOC. Vous pouvez utiliser ces rapports pour répondre à des questions sur n'importe quel questionnaire de sécurité que vous pourriez recevoir.

De plus, il existe certains types de ressources disponibles en ligne pour fournir des réponses à certaines des questions les plus fréquemment posées. Les deux documents les plus fréquemment utilisés pour les questionnaires sont :

Questionnaire Consensus Assessments Initiative –  La Cloud Security Alliance (CSA) est une organisation à but non lucratif dont l'objectif est de promouvoir l'utilisation des meilleures pratiques en termes d'assurance de sécurité dans le cloud computing. Le questionnaire Consensus Assessments Initiative mis au point par la CSA consiste en un ensemble de questionnaires qui pourrait être posé par un consommateur cloud et/ou par un auditeur à un fournisseur cloud. Il fournit une série de questions de sécurité, de contrôle et sur les processus pouvant être utilisés pour un large ensemble d'utilisations, notamment dans la sélection du fournisseur cloud et l'évaluation de la sécurité. Ce document contient les réponses AWS au questionnaire CSA.

Livre blanc AWS Risk and Compliance : ce document est conçu pour aider les clients AWS à intégrer AWS dans leur cadre de contrôle existant, sur lequel repose leur environnement informatique. Il inclut une approche de base pour l'évaluation des contrôles mis en place par AWS et fournit des informations visant à aider les clients dans leurs efforts d'intégration à leur environnement de contrôle. Il contient également des informations spécifiques concernant AWS et des questions générales de conformité par rapport à l'utilisation du cloud computing. Enfin, on y trouve des descriptions détaillées de l'ensemble des certifications, programmes, rapports et attestations tiers AWS. Le questionnaire de la CSA se trouve en annexe de ce document.

Si vous avez toujours besoin d'aide pour répondre à une question, contactez votre gestionnaire de compte du service commercial AWS qui pourra vous aider à vous rediriger vers les ressources appropriées.

Voici quelques-uns des défis les plus courants rencontrés avec HIPAA BAA. Pour obtenir l'accès à davantage de ressources liées au BAA, notamment une liste complète de la FAQ HIPAA, des vidéos d'instruction BAA, des livres blancs, etc. rendez-vous sur la page de conformité HIPAA AWS principale.

Q : Puis-je obtenir une version papier de mon BAA existant ?

R : Il n'y a aucune différence entre les versions BAA dans Artefact et une version papier. Lorsque vous utilisez Artefact, vous devez toujours pouvoir télécharger une copie du BAA avant et après avoir accepté les conditions. Si vous possédez un BAA existant hors ligne, vous pouvez contacter votre commercial pour en obtenir une copie.

Q : J'ai besoin d'une pièce à conviction pour confirmer qu'un ou plusieurs comptes ont été ajoutés à un BAA existant ou j'ai besoin d'une preuve qu'un ou plusieurs comptes sous couverts par un BAA.

R : AWS ne publie pas de pièce à conviction à jour lorsque des comptes supplémentaires sont couverts par un BAA existant. En utilisant Artefact, vous pouvez immédiatement affecter de nouveaux comptes en libre service dans la console. Après qu'un BAA a été accepté dans Artefact, vous pouvez vous connecter à la console avec l'ID de compte et confirmer que le statut est actif. Si vous souhaitez ajouter un nouveau compte, vous pouvez le faire en libre-service.  Pour confirmer le statut de couverture et partager le BAA avec les auditeurs ou les régulateurs, un fichier PDF est disponible au téléchargement. De plus, le statut sert également de preuve de couverture.

Q : Je n'ai pas la possibilité d'accéder au BAA ou je ne peux pas vérifier les cases de l'accord de non-divulgation.

R : Ce problème provient d'une erreur d'autorisations. La personne ou l'équipe gérant les requêtes IAM pour votre compte AWS peut résoudre ce problème en modifiant les autorisations. Cliquez ici, pour obtenir plus d'informations sur la configuration des comptes IAM.