Qu'est-ce qu'une norme de sécurité cloud ?
Les normes de sécurité cloud sont des lignes directrices et des réglementations structurées conçues pour sécuriser les environnements cloud, élaborées par des organismes internationaux de normalisation, des agences gouvernementales et des leaders du secteur.
Ces normes couvrent différents aspects de la sécurité cloud, notamment la protection des données, la gestion des identités et des accès (IAM) ou encore la conformité réglementaire. Elles fournissent ainsi aux organisations et aux fournisseurs de services cloud (CSP) un cadre précis pour protéger les données sensibles et sécuriser leurs infrastructures cloud.
Aujourd'hui, les organisations adoptent des modèles cloud variés comme l'IaaS, le SaaS ou le PaaS, chacun avec ses propres exigences de sécurité. Cette diversité complexifie la gouvernance de la sécurité et rend plus difficile l'évaluation précise de sa posture de sécurité tout en maintenant une conformité uniforme.
Face à ces enjeux—auxquels s'ajoutent des problèmes fréquents tels que des erreurs de configuration, une authentification insuffisante ou des contrôles d'accès faibles – se conformer aux normes de sécurité cloud est devenu essentiel. En effet, elles fixent des références pour les CSP comme pour les organisations et offrent une démarche structurée pour bâtir et maintenir un environnement cloud sécurisé, capable de résister aux menaces modernes.
Checklist d'auto-évaluation de la sécurité cloud
Checklist d'auto-évaluation des risques cloud de Wiz est conçue pour vous aider à adopter une approche proactive pour sécuriser votre environnement cloud.
L'importance des normes de sécurité cloud
Les normes de sécurité cloud ne se contentent pas de protéger les actifs numériques. Elles aident aussi les entreprises à gérer les risques et à instaurer la confiance auprès de leurs clients, partenaires et parties prenantes. Voici pourquoi elles sont essentielles :
Une protection renforcée des données : les normes imposent le chiffrement, le contrôle d'accès et des protocoles de supervision pour protéger les informations sensibles. En les appliquant, on peut prévenir les accès non autorisés, les violations de données et la perte d'informations clients, et ainsi sécuriser efficacement ses environnements cloud.
Une conformité réglementaire facilitée : de nombreuses normes, comme celles établies par l'ISO, le NIST ou le RGPD, aident les organisations à se conformer aux réglementations régionales et sectorielles. La conformité à ces normes démontre un engagement envers des opérations sécurisées, aide à éviter les sanctions, renforce la confiance des clients et facilite l'exploitation dans des régions aux exigences réglementaires variées.
Une réduction significative des risques : les normes traitent les domaines critiques de vulnérabilités cloud et fournissent des cadres précis pour identifier et remédier aux menaces potentielles. En les mettant en œuvre, on minimise le risque de cyberattaques et on réduit son exposition, créant ainsi un environnement cloud plus sûr et plus résilient.
Une confiance et une crédibilité renforcées : l'adhésion à des normes reconnues montre la volonté d'une organisation de protéger ses actifs cloud et les données de ses clients. Cette transparence renforce la confiance des clients, investisseurs et partenaires, et améliore sa réputation et sa fidélité.
Découvrez Wiz Cloud en action
Dans une visite guidée interactive de 10 minutes, vous allez :
accéder instantanément à une présentation guidée de la plateforme Wiz ;
découvrir comment Wiz priorise les risques critiques ;
voir les étapes de remédiation avec des exemples concrets.
Top 10 des normes de sécurité cloud
Voici un aperçu des 10 principales normes pour aider les organisations à mettre en place des pratiques de sécurité efficaces sur différents services cloud.
National Institute of Standards and Technology (NIST) Security Controls
Référentiels du Center for Internet Security (CIS Benchmarks)
Ci-dessous, un examen détaillé de chaque norme.
Normes ISO/IEC
Les normes ISO/IEC pour la sécurité cloud fournissent un cadre visant à sécuriser l'infrastructure et les données cloud au travers d'un système de management de la sécurité de l'information (SMSI/ISMS). Ces normes sont particulièrement précieuses pour les organisations qui traitent des informations personnellement identifiables (PII) et des informations de santé protégées (PHI), car elles aident à répondre aux exigences réglementaires, à éviter les risques de non-conformité et à protéger la confidentialité des données.
La série ISO/IEC 27000, qui comprend notamment 27001, 27002, 27017 et 27018, est fondamentale pour la gestion de la sécurité cloud :
ISO/IEC 27001 et 27002 proposent des bonnes pratiques générales de sécurité de l'information, axées sur la gestion des risques, le contrôle d'accès et la confidentialité des données. Ces normes posent les bases de la mise en œuvre de security controls dans différents environnements, y compris le cloud.
ISO/IEC 27017 est spécifiquement dédiée à la sécurité cloud et traite le modèle de responsabilité partagée en définissant les rôles dans les accords de niveau de service (SLA). Elle fixe des lignes directrices pour la ségrégation des données, le renforcement des machines virtuelles et l'alignement de la sécurité réseau.
ISO/IEC 27018 se concentre sur la protection des PII dans les clouds publics en précisant des exigences de chiffrement, d'audits réguliers et de gestion des données, avec des protocoles clairs pour la suppression, le traitement et la transparence.
Composants clés des contrôles ISO/IEC 27017
| Concept | Description |
|---|---|
| Responsabilité partagée | Les SLA doivent définir clairement les rôles et responsabilités des clients et des fournisseurs pour sécuriser l'infrastructure cloud (CLD.6.3.1). |
| Actifs du client du service cloud | Les fournisseurs doivent restituer ou supprimer les actifs du client à la fin du contrat ou lorsque la sécurité ne peut être garantie (CLD.8.1.5). |
Isolement des données cloud | Les données doivent être isolées dans les environnements multi-locataires pour prévenir tout accès non autorisé (CLD.9.5.1). |
| Renforcement des machines virtuelles | Fournisseurs et clients doivent protéger les machines virtuelles contre toute modification non autorisée (CLD.9.5.2). |
| Sécurité opérationnelle des administrateurs | Les clients doivent documenter les opérations d'administration et les fournisseurs doivent démontrer leur conformité via des certifications (CLD.12.1.5). |
| Supervision des services cloud | Les fournisseurs doivent activer la supervision afin de détecter et résoudre rapidement les menaces de sécurité (CLD.12.4.5). |
| Alignement de la sécurité réseau | Les fournisseurs doivent garantir des configurations de politiques de sécurité cohérentes entre les réseaux virtuels et physiques (CLD.13.1.4). |
ISO/IEC 27018:2019 - Principes de protection des PII
ISO 27018 ajoute des contrôles spécifiques pour sécuriser les PII dans les clouds publics, notamment :
le chiffrement des PII en transit et au repos ;
des audits réguliers des opérations du fournisseur cloud ou, le cas échéant, des auto-évaluations avec preuves ;
des protocoles de conservation et de suppression garantissant la suppression des PII lorsqu'elles ne sont plus nécessaires ;
la transparence des traitements avec des SLA clairs sur le traitement des données, les sous-traitants et l'accès client pour examiner les pratiques de stockage et de traitement des PII.
Ainsi, en respectant les normes ISO/IEC, les organisations mettent en place des security controls cohérents pour protéger les informations sensibles, assurer la conformité et instaurer la confiance des clients dans leurs environnements cloud.
National Institute of Standards and Technology (NIST) Security Controls
Le National Institute of Standards and Technology (NIST) propose des cadres complets pour favoriser une adoption sécurisée du cloud, faciliter la conformité à des réglementations telles que HIPAA et PCI DSS, et renforcer la cybersécurité des agences fédérales ainsi que des organisations qui travaillent avec elles.
NIST Cloud Computing Security Reference Architecture (SP 500-292)
Le NIST SP 500-292 décrit une architecture de sécurité cloud qui définit les rôles, services et activités des principaux acteurs du cloud : clients, fournisseurs, auditeurs, courtiers et transporteurs. Ainsi, chaque acteur a des responsabilités spécifiques, détaillées ci-dessous :
| Actor | Description | Role |
|---|---|---|
Clients cloud | Utilisateurs de services IaaS, PaaS et SaaS pour des besoins tels que le stockage, le déploiement d'applications et la gestion de bases de données. | Chiffrer les données, garantir leur intégrité et réaliser des audits de confidentialité pour prévenir les accès non autorisés et protéger les PII. |
| Fournisseurs cloud | Fournissent des services IaaS, PaaS et SaaS en garantissant la disponibilité, la sécurité et l'interopérabilité des ressources cloud partagées. | Gérer l'infrastructure, superviser les accès, auditer les services et établir des responsabilités de sécurité claires dans les SLA. |
| Auditeurs cloud | Évaluateurs indépendants ou internes vérifiant la conformité et la sécurité de l'infrastructure cloud. | Réaliser des audits de sécurité et de confidentialité pour garantir la conformité réglementaire. |
| Courtiers cloud | Intermédiaires gérant les services et la performance cloud. | Faciliter l'accès aux services des CSP et améliorer la sécurité et la performance opérationnelle via l'agrégation et la gestion. |
| Transporteurs cloud | Entités assurant la transmission des données entre fournisseurs et clients. | Assurer une transmission sécurisée des données, en évitant le détournement de paquets, les attaques MITM et les menaces DDoS. |
NIST Special Publication 800-144
Le NIST SP 800-144 traite des considérations de sécurité et de confidentialité dans les environnements cloud publics. Il met l'accent sur le modèle de responsabilité partagée et recommande aux clients cloud de :
planifier des security controls en fonction de la sensibilité des données et des objectifs de l'organisation ;
vérifier de manière indépendante les garanties des CSP, y compris le chiffrement et la conformité réglementaire ;
maintenir l'accountability via des tests d'intrusion réguliers, des évaluations de risques et des activités de supervision continues.
NIST Special Publication 800-53
Le SP 800-53 établit un cadre complet de security controls conçus pour les agences fédérales qui traitent des PII. Répartis en 20 catégories, ces contrôles constituent une base solide pour sécuriser les environnements cloud. Voici quelques catégories clés :
Access Control (AC) : permissions basées sur les rôles pour protéger les données sensibles ;
Incident Response (IR) : détection et atténuation en temps réel des incidents de sécurité ;
Risk Assessment (RA) : évaluation continue des risques pesant sur l'infrastructure et les données.
Ainsi, bien que non obligatoire pour les organisations non fédérales, atteindre la conformité NIST renforce considérablement la sécurité cloud, favorise la conformité réglementaire et consolide la confiance des clients dans la protection des données sensibles.
Cloud Security Alliance (CSA) Standards
The Cloud Security Alliance (CSA) provides a trusted framework for cloud security through its CSA STAR Program and Cloud Controls Matrix (CCM), offering standards that help organizations secure cloud environments and demonstrate compliance with best practices.
CSA STAR Program
The Security, Trust, Assurance, and Risk (STAR) Program is a certification initiative that evaluates cloud service providers (CSPs) based on their adherence to CSA security principles and leading standards like ISO/IEC and NIST. The STAR Program offers three levels of assurance:
Self-Assessment: Providers assess their security practices against CSA guidelines independently.
Third-Party Audit: Independent auditors verify compliance, offering a higher level of transparency and assurance.
Continuous Monitoring: Advanced monitoring practices enable ongoing compliance and risk management insights.
Cloud Controls Matrix (CCM)
The CCM is an in-depth framework that organizes cloud security controls by service model (IaaS, PaaS, SaaS), provider, and user roles. It addresses key security areas such as cryptography, data protection, identity and access management, and vulnerability assessments, offering tailored control guidelines for various cloud use cases. By aligning with ISO/IEC and NIST cloud security frameworks, the CCM provides a strong foundation for implementing security practices that meet regulatory standards and support secure cloud adoption.
Together, CSA’s STAR Program and CCM create a structured, transparent approach to cloud security, empowering organizations to assess and enhance their cloud security postures effectively.
Normes de la Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) propose un cadre de confiance pour la sécurité cloud via son programme CSA STAR et la Cloud Controls Matrix (CCM), fournissant des standards qui aident les organisations à sécuriser leurs environnements cloud et à démontrer leur conformité aux bonnes pratiques du secteur.
Programme CSA STAR
Le programme Security, Trust, Assurance, and Risk (STAR) est une initiative de certification qui évalue les fournisseurs de services cloud (CSP) sur leur respect des principes de sécurité de la CSA et des normes de référence comme ISO/IEC et NIST. Le programme STAR offre trois niveaux d'assurance :
auto-évaluation : les fournisseurs évaluent de manière indépendante leurs pratiques de sécurité par rapport aux lignes directrices de la CSA ;
audit tiers : des auditeurs indépendants vérifient la conformité, offrant ainsi un niveau supérieur de transparence et d'assurance ;
supervision continue : des pratiques avancées de supervision permettent un suivi en continu de la conformité et des risques.
Cloud Controls Matrix (CCM)
La CCM est un cadre détaillé qui organise les cloud security controls par modèle de service (IaaS, PaaS, SaaS), par fournisseur et par rôles utilisateurs. Elle couvre des domaines clés tels que la cryptographie, la protection des données, la gestion des identités et des accès ou encore l'évaluation des vulnérabilités, en offrant des lignes directrices adaptées à divers cas d'usage cloud. En s'alignant sur les cadres de sécurité cloud d'ISO/IEC et du NIST, la CCM constitue une base solide pour mettre en œuvre des pratiques répondant aux exigences réglementaires et favorisant une adoption sécurisée du cloud.
Ainsi, ensemble, le programme STAR et la CCM proposent une approche structurée et transparente de la sécurité cloud, permettant aux organisations d'évaluer et d'améliorer efficacement leur posture de sécurité.
Center for Internet Security (CIS) Benchmarks
Les CIS Benchmarks sont des normes de cybersécurité consensuelles et indépendantes des fournisseurs pour le déploiement des technologies et services cloud. Ils incluent deux niveaux de profils classés selon la facilité de mise en œuvre et l'impact en matière de sécurité, le premier niveau étant moins strict que le second. Ces référentiels couvrent aussi les configurations de sécurité des systèmes d'exploitation, CSP, serveurs et réseaux.
Ainsi, les CIS Benchmarks aident les organisations à améliorer la sécurité de leurs réseaux, équipements et serveurs grâce à :
des lignes directrices pour maîtriser les accès administratifs et l'attribution des privilèges ;
l'authentification des utilisateurs ;
la limitation des permissions des applications ;
la sécurisation des images de conteneurs et de machines virtuelles.
FedRAMP (Federal Risk and Authorization Management Program)
FedRAMP est un programme du gouvernement américain qui standardise l'évaluation de la sécurité, l'autorisation et la supervision continue des produits et services cloud utilisés par les agences fédérales.
Géré par la General Services Administration (GSA), FedRAMP établit un cadre rigoureux que les fournisseurs de services cloud (CSP) doivent suivre pour sécuriser et protéger les informations fédérales dans le cloud. Le programme s'appuie sur un processus en plusieurs étapes—évaluation de la sécurité, autorisation et supervision continue—afin de garantir que les CSP répondent à des exigences strictes de confidentialité, d'intégrité et de disponibilité.
FedRAMP propose trois niveaux d'impact—faible, modéré et élevé—selon la sensibilité des données traitées. Wiz a récemment obtenu l'autorisation FedRAMP de niveau modéré.
SOC 2 (Service Organization Control 2)
SOC 2 est une norme d'audit largement reconnue pour évaluer la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée des données clients traitées par les prestataires, en particulier dans le cloud.
Développée par l'American Institute of CPAs (AICPA), SOC 2 est une norme de conformité volontaire qui garantit que les organisations disposent de contrôles efficaces pour protéger les données contre les accès non autorisés et assurer la fiabilité de leurs services. Les audits SOC 2 s'appuient sur les Trust Services Criteria et portent sur des pratiques de sécurité telles que le contrôle d'accès, le chiffrement, la supervision et la réponse aux incidents.
Ainsi, les rapports SOC 2 fournissent aux clients une évaluation précise des pratiques de sécurité d'un fournisseur de services, aidant les entreprises à prendre des décisions éclairées lors du choix de leurs prestataires.
HIPAA et HITECH
L'Health Insurance Portability and Accountability Act (HIPAA) et le Health Information Technology for Economic and Clinical Health (HITECH) Act sont des réglementations américaines régissant la protection des informations de santé sensibles.
HIPAA établit des normes nationales pour sécuriser les données des patients et garantir la confidentialité, l'intégrité et la disponibilité des informations de santé protégées (PHI). De son côté, HITECH étend la portée d'HIPAA en favorisant l'usage des dossiers de santé électroniques (EHR) et en imposant un renforcement des contrôles ainsi que des notifications en cas de violation.
Ensemble, HIPAA et HITECH exigent que les prestataires de santé, assureurs et entités associées (business associates) mettent en œuvre des garanties physiques, administratives et techniques pour protéger les PHI. Ainsi, la conformité à ces normes permet d'éviter de lourdes amendes, de protéger efficacement les données des patients et d'instaurer la confiance dans la gestion des données de santé.
PCI DSS (Payment Card Industry Data Security Standard)
Le Payment Card Industry Data Security Standard (PCI DSS) est un ensemble de normes de sécurité développé par le Payment Card Industry Security Standards Council pour protéger les données des titulaires de carte. Applicable à toute organisation qui traite des données de paiement, PCI DSS exige des mesures telles que le chiffrement, le contrôle d'accès et la gestion des vulnérabilités afin de sécuriser les données sensibles lors du traitement, du stockage et de la transmission.
PCI DSS s'articule autour de 12 exigences principales couvrant notamment :
des configurations réseau sécurisées ;
la protection des données de titulaires de carte ;
le contrôle d'accès ;
les tests réguliers des systèmes de sécurité.
En satisfaisant aux exigences de PCI DSS, les organisations contribuent à prévenir la fraude, à garantir la confidentialité des données et à renforcer la confiance dans leurs pratiques de sécurité des paiements.
What is cloud security testing?
Cloud security testing is the process of evaluating your entire cloud infrastructure for security risks and misconfigurations—proactively, systematically, and continuously.
En savoir plus
RGPD (General Data Protection Regulation - GDPR)
Le Règlement général sur la protection des données (RGPD) est une loi complète de l'Union européenne sur la protection des données personnelles des résidents de l'UE.
Le RGPD impose aux organisations de :
sécuriser les données personnelles ;
obtenir un consentement explicite pour le traitement ;
permettre aux individus de contrôler leurs données, y compris d'y accéder, de les rectifier et de les effacer.
En cas de non-conformité, les organisations s'exposent à de lourdes amendes.
Le RGPD a une portée étendue : il s'applique à toute organisation, où qu'elle se trouve, qui traite les données de résidents de l'UE, ce qui en fait l'une des lois de protection des données les plus influentes au monde.
Normes proposées par les CSP
Outre les normes déjà évoquées, les CSP publient également leurs propres cadres architecturaux, bonnes pratiques et standards à destination de leurs clients, tels que :
AWS Well-Architected Framework : AWS propose un cadre structuré couvrant cinq piliers—sécurité, fiabilité, performance, optimisation des coûts et excellence opérationnelle—pour aider les organisations à concevoir des applications cloud sécurisées et performantes.
Google Cloud Architecture Framework : le cadre de Google fournit un ensemble complet de lignes directrices axées sur la sécurité, l'évolutivité, la gestion des coûts et l'efficacité opérationnelle, afin d'optimiser les environnements Google Cloud.
Azure Well-Architected Framework : le cadre de Microsoft Azure propose des recommandations autour de cinq piliers—optimisation des coûts, excellence opérationnelle, performance, fiabilité et sécurité—pour concevoir et déployer des applications sécurisées et résilientes sur Azure.
Mettre en œuvre les normes de sécurité cloud avec Wiz
Wiz assure la conformité grâce à des évaluations automatisées et à des scores précis de posture de sécurité sur plus de 100 référentiels intégrés du secteur. Ainsi, on peut rationaliser les audits, identifier en amont les vulnérabilités et éviter que la non-conformité ne se transforme en problèmes coûteux.
Pour les organisations dotées de cadres de sécurité spécifiques, Wiz permet d'adapter les évaluations à ses propres besoins, afin d'aligner parfaitement sa stratégie de conformité sur ses opérations.
Prêt à simplifier votre conformité ? Demandez une démo dès aujourd'hui pour découvrir comment Wiz peut transformer votre stratégie de sécurité cloud et vous apporter une vraie tranquillité d'esprit.
100+ cadres de conformité intégrés
Découvrez comment Wiz élimine les efforts manuels et la complexité liés à la mise en conformité dans des environnements dynamiques et multicloud.
