- Qu’est-ce que le cloud computing ?›
- Hub des concepts liés au cloud computing›
- Sécurité, identité et conformité›
- Qu’est-ce que la sécurité de l’information ?
Qu’est-ce que la sécurité de l’information ?
Sujets de la page
- Qu’est-ce que la sécurité de l’information ?
- Pourquoi la sécurité de l’information est-elle importante ?
- Quels sont les principes clés de la sécurité de l’information ?
- Qu’est-ce qu’un système de gestion de la sécurité de l’information ?
- Quelles sont les normes et les cadres de sécurité de l’information ?
- Quelles sont certaines technologies de sécurité de l’information ?
- Comment fonctionne la sécurité des informations dans le cloud ?
- Comment AWS peut-il répondre à vos exigences en matière de sécurité des informations ?
Qu’est-ce que la sécurité de l’information ?
La sécurité de l’information est le processus de protection de toutes les informations de l’entreprise, que ce soit sous forme numérique ou physique. Les organisations protègent les informations relatives à leurs activités et à leurs clients afin de préserver la réputation de leur marque, la confiance de leurs clients et leur conformité réglementaire. La sécurité de l’information décrit les processus, les outils et les technologies qui permettent de garantir que toutes les informations ne sont visualisées, copiées, modifiées ou détruites qu’après autorisation appropriée.
Pourquoi la sécurité de l’information est-elle importante ?
La sécurité de l’information soutient les organisations en les aidant à garantir l’intégrité, la disponibilité et la confidentialité de leurs données privées et de leurs systèmes d’entreprise. La sécurité de l’information est importante pour plusieurs raisons.
Permettre la continuité des activités
Des systèmes d’information efficaces permettent aux entreprises de maintenir un accès ininterrompu à leurs données et à leurs systèmes, même en cas d’événements de sécurité imprévus. La planification de la continuité des activités implique l’utilisation d’une gamme de logiciels de sécurité, la création de politiques à suivre en cas d’événements et la mise en œuvre de garanties techniques qui contribuent à protéger une organisation.
Renforcer la confiance des clients
La sécurité des informations réduit la probabilité d’événements de sécurité imprévus, ce qui permet aux entreprises de fournir un service ininterrompu à leurs clients. Lorsque les entreprises ont l’habitude de se conformer systématiquement à la gouvernance, de suivre les bonnes pratiques et de mettre en œuvre des pratiques de développement sécurisées, elles montrent à leurs clients qu’elles prennent leurs données utilisateur au sérieux et qu’elles les protégeront.
Atténuer les risques de sécurité
Selon le secteur d’activité d’une entreprise, il peut y avoir plusieurs risques potentiels dont elle doit tenir compte. La sécurité des informations permet de mettre en œuvre des contrôles techniques et procéduraux pour gérer et atténuer les risques.
Les organisations peuvent intégrer de nouvelles technologies de gestion de la sécurité qui réduisent la probabilité d’événements de sécurité imprévus et améliorent la capacité de l’entreprise à gérer les risques.
Protéger la réputation de la marque
La sécurité des informations protège la réputation d’une marque en améliorant sa capacité à fournir des services de manière fiable, à protéger la vie privée de ses clients et à répondre aux exigences opérationnelles. La survenance d'événements de sécurité involontaires peut nuire à la réputation d’une marque ; toutefois, des pratiques de sécurité de l’information efficaces réduisent la probabilité que cela se produise.
Quels sont les principes clés de la sécurité de l’information ?
Il existe plusieurs principes clés de sécurité de l’information que chaque entreprise suit.
Confidentialité
La confidentialité permet de garantir que toutes les données commerciales privées ne sont accessibles qu’aux personnes autorisées. Ce principe est à la fois technique et physique, car vous pouvez mettre en œuvre des contrôles d’accès pour les fichiers numériques et empêcher le personnel non autorisé d’accéder à un bureau. La confidentialité s’étend également à l’utilisation du cryptage, à la sécurisation des données en transit et au repos, et à la garantie de la protection de toutes les données de l’entreprise.
Intégrité
L’intégrité fait référence à la précision, à la fiabilité et à la cohérence des données tout au long de leur cycle de vie au sein d’une entreprise. Ce principe vise à protéger les données en s’assurant qu’elles sont exactes et qu’elles n’ont pas été modifiées à l’insu de leurs propriétaires. Le renforcement de l’intégrité des données dans les systèmes d’information consiste à inclure des signatures de données numériques, à utiliser le hachage cryptographique, à stocker les données dans des registres immuables et à valider les données tout au long de leur cycle de vie.
Disponibilité
La disponibilité permet de garantir que les utilisateurs autorisés ont accès à toutes les données dont ils ont besoin, sans délai ni interruption. Ce principe vise à mettre en œuvre des stratégies de sauvegarde et de restauration afin que les données soient toujours accessibles. En outre, la disponibilité implique la protection contre les perturbations causées par des tiers, la surveillance de l’état du stockage dans les centres de données et la conception d’une tolérance aux pannes dans l’architecture des données.
Non-répudiation
La non-répudiation permet de garantir que chaque action entreprise concernant les données est tracée, surveillée et enregistrée. En intégrant la non-répudiation dans les systèmes de sécurité de l’information, les entreprises développent une piste d’audit pour chaque donnée. Chaque fois qu’un utilisateur interagit avec des informations, les modifie, y accède ou approuve leur mouvement ou leurs modifications, ces facteurs sont tous enregistrés dans un registre immuable.
Assurance de l’information
L’assurance de l’information est la pratique qui consiste à protéger les systèmes d’information en veillant à ce que les opérations critiques soient prises en charge. Il s’agit d’un principe plus large qui implique d’évaluer et de respecter des cadres de sécurité tels que la norme ISO 27001, de gérer activement les risques émergents, de tester régulièrement les systèmes de sécurité et de surveiller en permanence les menaces potentielles.
Qu’est-ce qu’un système de gestion de la sécurité de l’information ?
Un système de gestion de la sécurité de l’information (ISMS) définit la manière dont une organisation gère la sécurité de ses informations tout au long du cycle de vie des données. Ce système définit généralement la façon dont les personnes, les processus et les technologies fonctionnent pour fournir des contrôles de sécurité complets pour tous les systèmes d’information de l’entreprise.
Quelles sont les normes et les cadres de sécurité de l’information ?
Les normes et cadres internationaux fournissent des conseils descriptifs et prescriptifs pour aider les organisations à sécuriser les informations et les données, dans le cadre d’un programme de conformité. Nous donnons ci-dessous quelques exemples de normes et de cadres que votre organisation peut suivre.
ISO 27001
La norme ISO-27001 s’articule autour de quatre thèmes principaux : les améliorations de la sécurité organisationnelle, humaine, physique et technologique. Chacune de ces catégories vise à améliorer la sécurité d’une manière différente, par exemple :
- Organisation d’une formation à la sécurité pour les employés sur le thème des personnes.
- Mise en œuvre de politiques de contrôle d’accès strictes pour les bureaux dans le thème physique.
- Implémentation du chiffrement pour les données au repos et en transit dans le thème de la technologie.
Chacune d’entre elles contribue à améliorer le niveau de sécurité de l’information.
- AWS possède une certification de conformité à la norme ISO/IEC 27001:2022. Cela signifie qu’en interne, nous évaluons systématiquement les risques liés à la sécurité de nos informations, en tenant compte de l’impact des menaces et des vulnérabilités.
- Nous concevons et mettons en œuvre une suite complète de contrôles de sécurité des informations et d’autres formes de gestion des risques pour faire face aux risques de sécurité des clients et de l’architecture.
- Nous disposons d’un processus de gestion global qui permet de garantir que les contrôles de sécurité de l’information répondent à nos besoins en permanence.
PCI-DSS
La norme PCI-DSS est une autre norme largement utilisée qui permet de garantir que tous les paiements par carte, y compris le stockage, la transmission et le traitement des données financières, sont effectués de manière sécurisée. Toutes les entités qui stockent, traitent ou transmettent des données de titulaire de carte (CHD) ou des données d’authentification sensibles (SAD), y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services, doivent être certifiées selon la norme PCI-DSS.
Vous pouvez consulter la liste des services AWS actuellement concernés par la norme PCI DSS.
HIPAA/HITECH
La HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui contribue à garantir la protection des informations personnelles de santé (PHI), la confidentialité des données et la prévention de toute divulgation non autorisée. La HIPAA s’applique aux « entités couvertes » (plans de santé, centres d’échange de données sur les soins de santé et prestataires de soins de santé qui transmettent des informations de santé par voie électronique) et à leurs partenaires commerciaux.
Vous pouvez consulter la liste des services AWS actuellement concernés par la loi HIPAA.
FedRAMP
Le FedRAMP (The Federal Risk and Authorization Management Program) est un programme à l’échelle du gouvernement américain destiné à normaliser l’évaluation de la sécurité, l’autorisation et la surveillance continue des produits et services cloud utilisés par les agences fédérales.
Vous pouvez consulter la liste des services AWS actuellement concernés par FedRAMP.
RGPD
Le RGPD (Règlement général sur la protection des données) est un cadre juridique de l’UE qui protège les données des résidents de l’UE. Il s’agit d’une norme mondiale, car toute entreprise qui souhaite interagir avec des clients de l’UE de quelque manière que ce soit doit se conformer au RGPD. Le RGPD vise à promouvoir la minimisation des données, à garantir une base légale pour la collecte de données et à donner aux utilisateurs le droit de demander la suppression de leurs données.
Conformément au RGPD, les clients AWS peuvent utiliser tous les services AWS pour traiter les données personnelles (telles que définies dans le RGPD) qui sont téléchargées vers les services AWS de leurs comptes AWS (données client).
FIPS 140-3
Le FIPS 140-3 est un module cryptographique que toutes les agences américaines opérant dans la sphère fédérale doivent utiliser. Cette norme fait partie de FedRAMP et oblige les entreprises à utiliser un large éventail de mesures de sécurité de protection et de prévention.
AWS propose une large gamme de points de terminaison FIPS par service.
Quelles sont certaines technologies de sécurité de l’information ?
Il existe plusieurs catégories principales de programmes de sécurité de l’information qui fonctionnent ensemble pour sécuriser les charges de travail et les applications.
Protection des données
La protection des données fait référence à tous les services qui contribuent à protéger les informations, les comptes et les charges de travail sensibles contre tout accès non autorisé. Les principaux services de protection des données incluent le chiffrement des données en transit et en cours de stockage, la gestion des clés et la restauration des données sensibles.
Protection du réseau et des applications
Les technologies de protection des réseaux et des applications concernent toutes les stratégies et politiques que votre entreprise déploie aux points de contrôle de sécurité du réseau. Ces technologies permettent d’identifier le trafic entrant, de le filtrer et d’empêcher toute connexion non autorisée d’accéder à votre réseau. Les technologies de base impliquent des pare-feux, des VPN, la détection des points de terminaison et d’autres limites au niveau des applications qui renforcent la sécurité de votre réseau.
Gestion des identités et des accès
Les outils de sécurité de gestion des identités et des accès (IAM) permettent à votre entreprise de gérer les contrôles d’accès, d’attribuer des niveaux d’autorisation et de déterminer quels comptes peuvent accéder à des données sensibles. Les contrôles d’identité permettent de déterminer le niveau d’accès de certains comptes et les informations que ce niveau d’accès leur permet de consulter et d’interagir avec. Cela concerne à la fois les contrôles au niveau des données et les systèmes de privilèges de compte.
Conformité et audit
La conformité et l’audit font référence à la capacité à suivre les meilleures pratiques, à surveiller votre environnement et à garantir le respect des normes de conformité dans l’ensemble de votre organisation. Selon le secteur d’activité de votre entreprise, les normes exactes que vous devez auditer et respecter varient.
Contrôles de sécurité physiques
Les contrôles de sécurité physiques constituent une autre forme de contrôle d’accès qui concerne les bureaux physiques, les serveurs et les espaces professionnels. Cela implique la conception sécurisée du site, la planification de la disponibilité et la mise en œuvre de politiques d’accès physique. La sécurité physique et environnementale s’étend également à la surveillance des accès, à l’enregistrement des mouvements et à la conservation d’une trace des données à des fins d’audit par les entreprises.
Comment fonctionne la sécurité des informations dans le cloud ?
Lorsqu'une entreprise utilise des services cloud, la sécurité et la conformité deviennent une responsabilité partagée entre le fournisseur de cloud et l’entreprise. Cette double responsabilité est connue sous le nom de modèle de responsabilité partagée et fait référence aux tâches respectives que chaque partie doit accomplir pour garantir la sécurité du cloud.
Le client assume la responsabilité de la gestion des données clients, de la plateforme, des applications, de la gestion des identités et des accès, du chiffrement des données client et de la configuration du réseau, entre autres tâches. Le fournisseur de cloud est responsable de toute infrastructure qui exécute des services dans le cloud, tels que le matériel, les logiciels ou les réseaux gérés par le fournisseur de cloud.
La nature spécifique de la responsabilité partagée dépendra du fournisseur de cloud avec lequel l’entreprise choisit de s’associer. La division de cette responsabilité est généralement comprise comme la sécurité « du » cloud par rapport à la sécurité « dans » le cloud.
Comment AWS peut-il répondre à vos exigences en matière de sécurité des informations ?
Chez AWS, la sécurité est notre priorité absolue. AWS est conçu pour être l’infrastructure cloud mondiale la plus sécurisée sur laquelle créer, migrer et gérer des applications et des charges de travail. Cela est soutenu par la confiance de nos millions de clients, y compris les organisations les plus sensibles à la sécurité, telles que les gouvernements, les soins de santé et les services financiers.
AWS et le client se partagent la responsabilité d’assurer la sécurité. Ce modèle partagé peut contribuer à alléger la charge opérationnelle du client, car AWS exploite, gère et contrôle les composants depuis le système d’exploitation hôte et la couche de virtualisation jusqu’à la sécurité physique des installations dans lesquelles le service fonctionne. Nous prenons en charge un large éventail de normes de sécurité et de certifications de conformité, notamment PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR et FIPS 140-3, aidant ainsi les clients à répondre aux exigences de conformité du monde entier. Nous vous offrons également un contrôle total sur vos propres données, ce qui vous permet de déterminer comment vos données sont utilisées, qui y a accès et comment elles sont cryptées.
Les services de sécurité AWS peuvent renforcer vos efforts en matière de sécurité des informations dans le cloud. Par exemple :
- Les services d’audit et de configuration AWS vous offrent une vue complète de votre statut de conformité et surveillent en permanence votre environnement.
- Les services de protection des données AWS, tels qu’ AWS Identity and Access Management (IAM), vous permettent de gérer en toute sécurité l’accès aux services et ressources AWS. AWS CloudTrail et Amazon Macie permettent la conformité, la détection et l’audit, tandis qu’AWS CloudHSM et AWS Key Management Service (KMS) vous permettent de générer et de gérer des clés de chiffrement en toute sécurité. AWS Control Tower assure la gouvernance et les contrôles relatifs à la résidence des données.
- Les services de détection et de réponse AWS vous aident à améliorer votre niveau de sécurité et à rationaliser les opérations de sécurité dans l’ensemble de votre environnement AWS.
- AWS identity services vous aide à gérer en toute sécurité les identités, les ressources et les autorisations à grande échelle.
- Les services de protection des réseaux et des applications AWS vous aident à appliquer des politiques de sécurité précises aux points de contrôle du réseau de votre entreprise.
Commencez à utiliser la sécurité des informations sur AWS en créant un compte gratuit dès aujourd’hui.