Qu’est-ce que la conformité du cloud ?
La conformité du cloud (ou cloud compliance en anglais) regroupe l’ensemble des pratiques, contrôles et mécanismes organisationnels permettant de garantir que vos services cloud respectent les réglementations en vigueur, mais aussi les normes de votre secteur et les politiques internes de votre entreprise.
En effet, contrairement aux environnements sur site, les environnements cloud sont dynamiques, distribués et partagés entre plusieurs acteurs. Cela signifie que même si les exigences légales restent les mêmes, par exemple en matière de protection des données, les mesures à mettre en œuvre dans un environnement cloud sont radicalement différentes.
C’est pourquoi, il est essentiel de distinguer conformité du cloud et sécurité du cloud.
D’un côté, la conformité du cloud se concentre sur le respect des normes légales, réglementaires et contractuelles. Elle répond à la question : « Mon usage du cloud respecte-t-il bien toutes les obligations de ma juridiction et de mon secteur ? ».
La sécurité du cloud, quant à elle, vise à protéger tous les systèmes et données contre les intrusions, les malwares ou les fuites de données par la mise en œuvre de mesures organisationnelles et de contrôles techniques qui sont spécifiques à son organisation, aux données qu’elle stocke ou traite et aux technologies qu’elle utilise.
De plus, la conformité du cloud a souvent une portée beaucoup plus large. Par exemple, sur le plan sécurité cloud, le RGPD impose de mettre en place des mécanismes comme le chiffrement des données en transit et au repos, la gestion des accès basés sur les rôles (RBAC) et la surveillance des logs pour détecter toute fuite ou modification non autorisée. Mais, sur le plan conformité cloud, le RGPD va plus loin. Ainsi, il exige de tenir un registre des traitements, d’assurer les droits d’accès, de rectification et d’effacement des personnes concernées et de définir des durées maximales de conservation des données au-delà desquelles il faut procéder à leur suppression ou à leur anonymisation.
C’est pourquoi, avec l’essor toujours plus important du cloud, la diversité des lois applicables et l’évolution des cybermenaces, assurer une conformité cloud continue est devenu un enjeu majeur pour toutes les entreprises qu’elles soient petites ou grandes.
Qui est responsable de la conformité du cloud ?
Contrairement à un environnement sur site où les entreprises sont responsables de pratiquement tous les aspects de la sécurité et de la conformité de leur environnement, la conformité cloud repose sur un modèle de responsabilité partagée entre l’entreprise cliente et son fournisseur de services cloud (CSP pour Cloud Service Provider en anglais).
Le fournisseur de services cloud comme AWS, Azure ou Google Cloud par exemple est responsable de la sécurité de l’infrastructure qu’il propose : data centers, réseaux, serveurs physiques, hyperviseurs, etc.
L’entreprise cliente, quant à elle, reste responsable de la configuration des services utilisés, de la sécurité des applications qu’elle déploie et de la conformité de ses propres données.
Ainsi, chaque fournisseur de service cloud (CSP) publie un modèle de responsabilité partagée pour clarifier chaque élément de cette répartition. Il est donc essentiel de bien le comprendre pour éviter les angles morts en matière de conformité du cloud, notamment autour des questions de la gestion des accès, de la configuration des ressources ou encore de la conservation des données.
Gouvernance et conformité cloud : deux piliers de la gestion du cloud
Pour garantir une utilisation sécurisée, responsable et conforme du cloud, deux leviers fondamentaux doivent être activés : la gouvernance cloud et la conformité cloud.
La gouvernance du cloud désigne l’ensemble des politiques, des processus et des contrôles mis en place par une organisation pour structurer l’usage de ses ressources cloud en alignement avec ses objectifs métiers, ses contraintes techniques et ses obligations réglementaires. Elle couvre notamment la gestion des accès, la traçabilité, la supervision des coûts ainsi que le cadre d’audit. Ainsi, son but est de garantir que chaque service cloud utilisé respecte les politiques internes et les standards de sécurité de l’entreprise.
La conformité du cloud, quant à elle, vise à s’assurer que ses environnements cloud respectent les exigences des réglementations et cadres normatifs applicables à son activité qu’elles soient sectorielles comme l’HIPAA américain pour la santé ou la norme PCI DSS dans le commerce, régionales comme le RGPD en Europe ou liées à la souveraineté des données.
Pourtant, ces deux dimensions sont indissociables. En effet, une gouvernance cloud bien conçue facilite l’application des politiques de conformité, tandis que la conformité du cloud contribue à renforcer la robustesse et la crédibilité de sa gouvernance. Ensemble, elles permettent donc de mieux gérer les risques encourus, de renforcer la transparence de ses opérations et de soutenir la résilience de son infrastructure cloud.
Les principales réglementations et cadres de conformité cloud
Dans un environnement multicloud globalisé, les exigences de conformité varient selon les secteurs, les pays et les cas d’usage. Voici un aperçu des principaux cadres réglementaires et normes de conformité cloud à connaître.
Règlement
Ci-dessous, nous couvrons les réglementations et cadres de conformité cloud les plus importants, notamment :
Dans un environnement multicloud globalisé, les exigences de conformité varient selon les
secteurs, les pays et les cas d’usage. Voici un aperçu des principaux cadres réglementaires et normes de conformité cloud à connaître.Cependant, tous ces cadres ne sont pas interchangeables. Ils s’ajoutent ou se complètent selon le secteur d’activité, les régions de déploiement et les exigences contractuelles. C’est pourquoi, uהne solution de conformité cloud comme Wiz permet de cartographier toutes ses obligations, de contrôler automatiquement tout écart de conformité et de prioriser les corrections à mettre en œuvre en fonction de son contexte opérationnel.
Les réglementations incontournables en matière de conformité cloud
La conformité cloud repose sur un ensemble de réglementations internationales qui encadrent la gestion, la sécurité et la confidentialité des données dans les environnements cloud. Comprendre ces textes est donc essentiel pour protéger ses workloads, éviter les sanctions et renforcer la confiance de ses utilisateurs.
Règlement général sur la protection des données (RGPD)
Le RGPD est une législation phare en matière de protection des données personnelles applicable à toute organisation qui traite les données de résidents de l’Espace économique européen (EEE). Cela comprend donc tous les pays de l’Union européenne, mais aussi de la Norvège, de l’Islande et du Liechtenstein. Mais, même s’il est d’origine européenne, le RGPD a une portée mondiale. En effet, toute entreprise qui collecte ou traite les données de résidents de l’EEE via des services cloud est concernée, quel que soit son lieu d’implantation.
En outre, les exigences du RGPD en matière de sécurité cloud sont formulées de manière volontairement large. Ainsi, il est attendu que les données personnelles bénéficient d’un niveau de protection « approprié » en fonction de la sensibilité des données et des risques encourus. C’est pourquoi, il est essentiel de mettre en place des politiques de gouvernance des données claires soutenues par des mesures techniques robustes pour démontrer sa conformité cloud RGPD.
Mais, la conformité au RGPD ne se limite pas à la sécurité du cloud. En effet, elle couvre plusieurs principes fondamentaux parmi lesquels :
la minimisation des données pour ne collecter que ce qui est strictement nécessaire ;
la limitation de conservation pour ne pas stocker les données plus longtemps que requis ;
la résidence des données qui impose d’héberger les données au sein de l’EEE, sauf exceptions prévues ;
un droit d’accès pour permettre à toute personne concernée de consulter ses données ;
un droit à l’effacement pour, dans certaines circonstances, supprimer les données sur demande.
Enfin, pour les organisations utilisant des infrastructures cloud, le RGPD souligne la nécessité d’une visibilité complète sur les flux de données, d’un contrôle précis des accès et d’une traçabilité rigoureuse. Autant d’éléments clés pour garantir une bonne conformité du cloud.
À noter : depuis sa sortie de l’UE, le Royaume-Uni a mis en œuvre une version équivalente du RGPD, connue sous le nom de UK GDPR.
Règlement sur la résilience opérationnelle numérique (DORA)
Adopté par l’Union européenne le 14 décembre 2022, le règlement sur la résilience opérationnelle numérique du secteur financier ou Digital Operational Resilience Act (DORA) introduit un cadre réglementaire uniforme de résilience opérationnelle numérique liés aux Technologies de l'Information et de la Communication (TIC), en particulier pour le secteur financier. Ainsi, il s’applique à plus de 22 000 institutions financières et fournisseurs de TIC, y compris les banques, les compagnies d’assurance, les services cloud, etc.
Les principaux objectifs de DORA sont les suivants :
cartographier et évaluer les risques liés aux TIC ;
mettre en œuvre des plans de réponse et de continuité ;
déclarer rapidement les incidents majeurs aux autorités compétentes.
Ainsi, ce règlement renforce la conformité cloud pour les institutions financières en plaçant la sécurité des fournisseurs de TIC au même niveau que celle des institutions régulées.
DORA: Everything You Need to Know
In this whitepaper, discover the ins and outs of this new set of regulations that applies to over 22,000 organizations in the European Union (EU).
Download Whitepaper
Loi fédérale sur la gestion de la sécurité de l’information (FISMA)
Aux États-Unis, le Federal Information Security Management Act (FISMA) définit les exigences de conformité cloud et de sécurité que doivent suivre les agences gouvernementales fédérales ainsi que les entreprises privées qui traitent ou stockent des données sensibles pour leur compte. Cette loi vise à garantir la protection des systèmes d'information du gouvernement à travers un cadre rigoureux de gestion des risques.
Ainsi, FISMA repose sur plusieurs normes du NIST (National Institute of Standards and Technology), en particulier la NIST SP 800-53 ainsi que les standards FIPS 199 et FIPS 200 qui structurent la mise en œuvre des contrôles de sécurité comme suit :
FIPS 199 permet de classifier ses informations et systèmes selon leur niveau de criticité (faible, modéré, élevé) en cas de perte de confidentialité, d'intégrité ou de disponibilité ;
FIPS 200 définit les objectifs de sécurité minimaux en fonction de cette classification ;
NIST SP 800-53 propose une bibliothèque de contrôles techniques et organisationnels à appliquer selon les risques identifiés.
Bien que FISMA soit uniquement obligatoire pour les agences fédérales américaines et leurs sous-traitants, de nombreuses entreprises du secteur privé choisissent pourtant de s’y conformer volontairement. En effet, cela peut ouvrir l’accès à de nouveaux marchés, notamment dans le secteur public, tout en renforçant globalement son niveau de sécurité et de conformité dans le cloud. Ainsi, FISMA aide à construire une posture de conformité cloud fédérale robuste capable de résister aux cybermenaces et de répondre aux exigences de ses partenaires publics.
Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)
La conformité HIPAA concerne toutes les entités américaines qui traitent des données de santé sensibles : hôpitaux, assureurs, prestataires de services cloud, etc. Mais, elle s’inscrit dans le cadre des objectifs plus larges de la loi HIPAA tels que la rationalisation de l’administration des soins de santé et la garantie d’une couverture d’assurance maladie ininterrompue pour les employés qui perdent ou changent d’emploi. Dans ce cadre, elle impose des exigences spécifiques en matière de chiffrement des données, de contrôle d’accès, de gestion des incidents et d'auditabilité. Dans un environnement cloud, se conformer à HIPAA implique donc de travailler avec des fournisseurs compatibles et de maîtriser la sécurité de son infrastructure de bout en bout.
Loi Sarbanes-Oxley (SOX)
Initialement centrée sur la transparence financière des entreprises cotées en bourse, la loi Sarbanes-Oxley (SOX) impose également certaines exigences techniques aux systèmes d’information. En effet, la loi SOX est une loi fédérale visant à protéger les actionnaires, les employés et les particuliers contre les pratiques comptables et financières négligentes ou frauduleuses. Ainsi, elle requiert une piste d’audit complète des actions utilisateurs ainsi que des contrôles d’accès rigoureux et la conservation sécurisée des journaux d’activité.
Pour les entreprises soumises à cette réglementation, garantir la conformité SOX dans le cloud passe donc par des politiques strictes de traçabilité et de contrôle des accès aux données critiques.
Cadres et standards clés pour assurer sa conformité cloud
Au-delà des réglementations, plusieurs cadres de conformité cloud fournissent des lignes directrices pratiques pour sécuriser ses environnements cloud. Ces référentiels sont essentiels pour structurer ses démarches de conformité, évaluer sa posture de sécurité et répondre aux exigences des clients et des partenaires. Voici les principaux à connaître.
Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
La norme Payment Card Industry Data Security Standard (PCI DSS) s’applique à toute organisation qui traite, stocke ou transmet des données de paiement par carte bancaire. C’est donc une norme contractuelle largement adoptée dans les secteurs du e-commerce, du retail et des services en ligne. Elle repose sur un ensemble d’exigences techniques et organisationnelles comme la mise en place de pare-feux et d’un chiffrement fort, un contrôle d’accès rigoureux aux données sensibles et une surveillance constante des environnements cloud utilisés.
En outre, le Conseil des normes PCI a publié un rapport en ligne (en anglais) dédié à la conformité PCI dans le cloud incluant une matrice de responsabilités partagées entre client et fournisseur cloud.
Institut national des normes et de la technologie (NIST SP 800-53)
La NIST SP 800-53 est une référence incontournable en matière de conformité cloud aux États-Unis. Elle fournit une vaste bibliothèque de contrôles de sécurité pour garantir l'intégrité, la confidentialité et la disponibilité des systèmes d'information cloud. Ce cadre est notamment utilisé pour sélectionner des contrôles de sécurité adaptés au niveau de risque identifié, structurer les audits de sécurité et démontrer sa conformité dans les environnements cloud critiques comme la santé, le secteur public, la finance, etc.
En outre, elle est obligatoire aux États-Unis pour les organismes gouvernementaux et les entrepreneurs ayant accès aux systèmes fédéraux. Elle est donc au cœur de la conformité FISMA et alimente d’autres programmes comme FedRAMP.
Programme fédéral de gestion des risques et des autorisations (FedRAMP)
Le Federal Risk and Authorization Management Program (FedRAMP) est une extension de la FISMA dédiée aux services cloud utilisés par les agences fédérales américaines.
Elle s’appuie sur le modèle de responsabilité partagée en distinguant les contrôles de sécurité assurés par le fournisseur cloud de ceux qui relèvent du client (agence ou prestataire). Pour obtenir une autorisation FedRAMP, il est donc nécessaire d’utiliser un fournisseur certifié FedRAMP et de respecter une série de contrôles stricts couvrant toute la chaîne de traitement des données cloud. Ce cadre facilite la conformité cloud des administrations et évite la duplication des efforts de sécurité.
Contrôles du système et de l’organisation 2 (SOC 2)
Le System and Organization Controls (SOC 2) est un cadre de conformité volontaire destiné aux entreprises qui fournissent des services SaaS ou hébergent des données clients sensibles. Il permet de démontrer via un audit annuel indépendant que l’on applique les bonnes pratiques en matière de :
sécurité,
disponibilité,
intégrité du traitement,
confidentialité,
respect de la vie privée.
La conformité SOC 2 dans le cloud est un excellent levier de réassurance commerciale, en particulier sur les marchés nord-américains. C’est pourquoi, une attestation SOC 2 est souvent exigée dans les contrats B2B.
Contrôles de sécurité critiques du Centre de la sécurité Internet (CIS Controls)
Les contrôles CIS (du Center for Internet Security) constituent un ensemble de bonnes pratiques universelles que toute organisation peut appliquer pour renforcer sa conformité cloud et sa posture de sécurité. Conçus pour avoir un impact rapide et mesurable, ces contrôles couvrent des domaines prioritaires comme la gestion des vulnérabilités, la supervision des accès ou la sécurité des configurations cloud. Ils sont particulièrement utiles pour les équipes IT disposant de ressources limitées car ils proposent une approche progressive basée sur les priorités réelles du terrain.
Conformité cloud : spécificités selon les fournisseurs de services cloud (CSP)
Programmes de conformité par fournisseur cloud
Avant de lancer toute initiative de conformité cloud, il est essentiel de vérifier que son fournisseur cloud respecte les obligations liées au modèle de responsabilité partagée. Mais, face à la diversité des réglementations (RGPD, HIPAA, PCI DSS, etc.), cette démarche peut sembler complexe. Heureusement, les principaux fournisseurs que sont Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) mettent à disposition des portails de conformité dédiés. Ainsi, ces outils facilitent l’accès aux attestations, certifications et alignements réglementaires nécessaires pour vos audits et vos contrôles internes. Enfin, ils proposent une vue claire des programmes de conformité par secteur d’activité (finance, santé, industrie…) et par zone géographique.
Outils de conformité proposés par les CSP
Pour renforcer sa conformité cloud, les fournisseurs proposent également des services intégrés qui facilitent la gouvernance, la surveillance et le reporting de ces environnements.
AWS Artifact : portail en libre-service pour accéder rapidement à la documentation de conformité AWS, utile lors d’audits réglementaires ;
AWS Audit Manager : solution d’automatisation des audits de conformité basée sur les contrôles que l’on peut mettre en œuvre dans ses environnements AWS pour se conformer à une grande variété de réglementations et de normes différentes ;
Azure Blueprints : modèles préconfigurés permettant de déployer des environnements conformes aux standards choisis. En résumé, les blueprints sont des ensembles d’artefacts empaquetés pour le déploiement d’environnements entièrement gouvernés sur la plateforme Azure ;
Azure Policy : service de gestion centralisée des politiques de conformité pour contrôler la configuration de ses ressources cloud. Il peut également alerter chaque fois que des ressources s’écartent des règles de stratégie mises en place et corriger automatiquement les violations de conformité détectées ;
Assured Workloads pour Google Cloud : outil de Google qui applique automatiquement des contrôles de sécurité, de résidence des données et de chiffrement en fonction des exigences réglementaires spécifiées. Par exemple, il ne permettra d’héberger des données que dans des régions cloud situées à l’intérieur des limites territoriales autorisées par le programme de conformité que l’on a mis en place. En outre, il configure les services de cryptage appropriés comme l’exige la loi et applique les contrôles d’accès conformément aux exigences de souveraineté des données.
Régions cloud et exigences de localisation des données
La résidence des données est un aspect clé de nombreuses réglementations de conformité cloud comme le RGPD par exemple. Ainsi, il est nécessaire de s’assurer que les données relatives aux informations personnelles des personnes concernées sont stockées et traitées dans des régions autorisées. Heureusement, aujourd’hui, les principaux fournisseurs cloud disposent de plus de 130 régions cloud à travers le monde, permettant de répondre simplement aux contraintes de souveraineté des données.
Bonnes pratiques essentielles pour assurer sa conformité cloud
Pour garantir un environnement cloud sécurisé, conforme et résilient, il est recommandé d’adopter un ensemble de bonnes pratiques structurées autour de trois piliers fondamentaux.
1. Sécurité des données dans le cloud
La protection de la confidentialité, de l’intégrité et de la disponibilité des données est la pierre angulaire de toute stratégie de conformité cloud.
Classification et gouvernance des données : classez vos données selon leur niveau de sensibilité et les exigences réglementaires applicables, puis élaborez des politiques claires qui encadrent leur traitement, leur accès et leur stockage.
Chiffrement et gestion des clés : chiffrez les données en transit et au repos à l’aide de standards reconnus comme AES-256 et mettez en place une gestion sécurisée des clés avec des droits d’accès limités aux personnes autorisées.
Contrôle d’accès et gestion des identités : appliquez le principe du moindre privilège (PoLP) pour restreindre les accès aux seuls utilisateurs autorisés et renforcez la sécurité avec l’authentification multifacteur (MFA).
2. Gestion de la configuration cloud
Une configuration cohérente et sécurisée est essentielle pour maintenir la conformité de ses ressources cloud dans le temps.
Sécurisation des API : protégez les interfaces de programmation avec des mécanismes d’authentification robustes, chiffrez correctement les données échangées et ajustez régulièrement les politiques d’accès aux API en fonction des changements apportés aux rôles des utilisateurs ou aux services.
Gestion des correctifs : assurez-vous que tous les composants logiciels et systèmes cloud sont régulièrement mis à jour avec les derniers correctifs de sécurité dès leur publication.
Configuration et segmentation réseau : isolez les ressources critiques en segmentant votre réseau tout en déployant des pare-feux et des systèmes de détection d’intrusion pour contrôler le trafic et prévenir les intrusions.
3. Stratégie de conformité et supervision continue
La conformité cloud repose sur une approche proactive mêlant veille réglementaire, supervision continue et sensibilisation.
Veille réglementaire et responsabilités partagées : suivez de près les évolutions des réglementations applicables à votre secteur d’activité comme le RGPD, l’HIPAA ou la PCI DSS et identifiez clairement la répartition des responsabilités entre votre organisation et votre fournisseur de services cloud.
Audits et évaluations régulières : menez des analyses de vulnérabilité, des tests d’intrusion ainsi que des audits de conformité internes pour assurer le respect continu des politiques internes comme des réglementations externes et y remédier rapidement tout en conservant une documentation d’audit fiable.
Sensibilisation et formation des équipes : organisez régulièrement des sessions de formation sur les bonnes pratiques de sécurité dans le cloud, les exigences réglementaires et les comportements à risque afin de renforcer la culture sécurité dans l’ensemble de votre organisation.
Plan de réponse aux incidents : rédigez un plan d’intervention structuré de gestion des incidents de sécurité, testez-le périodiquement et améliorez-le en fonction des retours d’expérience pour garantir une réaction rapide et efficace.
Adaptation aux spécificités des fournisseurs cloud : même si les grands principes sont communs à tous les fournisseurs cloud, chaque fournisseur (AWS, Azure, GCP) possède des outils, des configurations et des services spécifiques. Prenez le temps de les connaître et de les exploiter au mieux.
Ainsi, en appliquant ces bonnes pratiques, vous posez les bases d’une conformité cloud robuste, capable d’évoluer avec les exigences réglementaires et les réalités opérationnelles de votre environnement numérique.
Comment choisir la bonne solution de conformité cloud ?
Assurer seul sa conformité cloud peut rapidement devenir un véritable casse-tête. Entre la complexité des environnements multicloud, la diversité des réglementations actuelles et l'évolution rapide des exigences sectorielles, il est facile d’en perdre le fil. D’autant que beaucoup de cadres de conformité se chevauchent sans pour autant se ressembler. Toute tentative de suivi manuel devient alors non seulement chronophage, mais surtout source d’erreurs.
Alors, comment rester aligné sur tous les fronts sans y consacrer des ressources démesurées ? Comment adapter en continu la configuration technique de ses environnements cloud à sa posture de conformité tout en évitant les doublons et les failles ?
Pour résoudre tous ces problèmes, optez pour une solution de conformité cloud dédiée capable de superviser et de rationaliser tous vos efforts.
En effet, une bonne plateforme de conformité cloud doit permettre de :
surveiller en continu sa posture de sécurité et de la comparer à des centaines de contrôles préintégrés issus de cadres reconnus comme PCI DSS, NIST SP 800-53 ou CIS Controls ;
couvrir la complexité technique de ses déploiements cloud y compris les workloads conteneurisées et les architectures serverless ou hybrides ;
créer des cadres personnalisés pour répondre à ses exigences internes ou à celles de ses partenaires dans la chaîne d'approvisionnement ;
automatiser la détection et la correction des écarts de sécurité grâce à des intégrations avec des outils de ticketing et des workflows d’alerte ;
fournir des rapports adaptés à chaque niveau de responsabilité, des tableaux de bord opérationnels jusqu’aux synthèses stratégiques pour la direction.
Chez Wiz, nous pensons qu’une conformité cloud réussie repose sur une visibilité claire, une automatisation intelligente et une simplicité d’usage à grande échelle. Alors, planifiez une démonstration avec nos experts et voyez comment Wiz peut transformer votre approche de la conformité cloud dès aujourd’hui.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
