Depuis son application en mai 2018, le Règlement Général sur la Protection des Données (RGPD, dit GDPR en anglais « General Data Protection Regulation ») impose davantage de rigueur et de transparence dans le traitement des données personnelles sur les plateformes numériques (sites, applications, etc.). 

Quelle que soit votre activité (grande entreprise, organisation publique…), vous êtes amené à traiter des données personnelles via vos systèmes d’information. Mais employez-vous correctement les “best practices” en matière de sécurité et de conservation des datas ? 

Si vous avez déployé votre infrastructure sur un cloud public (AWS, Google Cloud, Azure, etc.), le principe de la responsabilité partagée s’applique dans la mise en oeuvre de cette conformité. En clair : le cloud provider est responsable de la sécurité du cloud. En tant qu’utilisateur, vous êtes responsable de votre sécurité et de votre conformité sur cet espace.

RGPD données personnelles AWS Responsabilité partagée cloud

Bien conscients de la difficulté que cela représente, les cloud providers ont créé plusieurs outils pour vous permettre d’être en règle. C’est le cas d’AWS. 

Qui doit appliquer le RGPD ? Qu’entend-on par données personnelles ? Comment les chiffrer ? Comment mettre en place une surveillance et un contrôle d’accès ? Découvrez, dans cet article, l’ensemble des informations pour y voir + clair sur ce vaste sujet, ainsi que les services disponibles chez AWS pour être « RGPD friendly ». 

Qui est concerné par le RGPD ? Qu’est-ce qu’une donnée personnelle ?

Avant toute chose, redéfinissons ce règlement et ce qu’est une donnée personnelle. 

Le Règlement Général sur la Protection des Données

Il encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise ce sujet à l’échelle de l’Europe. 

Toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, est concernée par ce texte dès lors  :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • et/ou que son activité cible directement des résidents européens.
RGPD données personnelles Consentement données personnelles formulaire

La donnée personnelle

C’est une information à partir de laquelle un individu peut être identifié ou identifiable.

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (identifiant, n° client, numéro de téléphone…).

L’identification peut être réalisée :

  • à partir d’une seule donnée (numéro de sécurité sociale…)  
  • à partir du croisement d’un ensemble de données.

La protection de ces données repose sur 5 grands principes applicables sur tout support, qu’il soit numérique ou non :

  • Le principe de finalité : la collecte a un but bien précis.
  • Le principe de proportionnalité et de pertinence : nous ne récoltons que les données dont nous avons besoin.
  • Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier.
  • Le principe de sécurité et de confidentialité : vous devez garantir la sécurité et la confidentialité des informations que vous détenez. Vous devez en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.
  • Les droits des personnes et le principe de consentement : les personnes concernées doivent être informées de la manière dont leurs données sont traitées et elles doivent pouvoir donner leur consentement.

RGPD & données personnelles : les droits des utilisateurs et vos obligations  

Nous pouvons vous en citer 4 :

Droit à la portabilité des données :

Les individus ont le droit de copier toutes les données personnelles que vous avez à leur sujet. Ces données doivent être fournies de manière à faciliter leur réutilisation.

Droit à l’oubli :

Cela donne aux individus le droit de réclamer l’effacement de certaines données personnelles, de façon à les rendre inaccessibles à des tiers.

Protection des données dès la conception :

Dès la phase initiale de conception d’un service, vous devez respecter les règles, recommandations et consignes en rapport avec la protection des données.

Notification en cas de fuite de données :

En cas de fuite de données, vous devez notifier l’autorité de supervision concernée dans les 72 heures. S’il y a un risque élevé d’atteinte aux droits et libertés des individus, vous devez également les informer.

AWS centre reglement general protection données rgpd

Le cloud AWS respecte-t-il le RGPD ?

OUI

Lors de l’entrée en vigueur de ce règlement européen, en 2018, AWS a réalisé un audit de conformité au RGPD certifiant que l’ensemble de ses services et fonctionnalités respectent bien les normes les plus élevées en matière de confidentialité et de protection des données personnelles. 

Par ailleurs, ce cloud provider dispose de certifications : ISO 27017 dédiée à la sécurité du cloud computing, et ISO 27018 dédiée à la protection des données personnelles dans le Cloud.

Quels sont les services proposés par AWS pour aider à vous  mettre en conformité avec le RGPD ?

En fonction de vos besoins, voici plusieurs services et fonctionnalités mises à votre disposition par AWS pour respecter les exigences du texte européen.

Chiffrez vos données 

RGPD Chiffrement des données personnelles outils AWS
  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

Contrôle d’accès : restreignez l’accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés
  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d’autres services
  • Authentification par requête d’API
  • Restrictions géographiques
  • Jetons d’accès temporaires via AWS Security Token Service

Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS
  • Gestion et configuration des ressources avec AWS Config
  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Fichiers journaux granulaires fins des accès aux objets Amazon S3

  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d’AWS CloudFront

AWS propose, par ailleurs, 4 services particulièrement intéressants pour vous accompagner dans cet objectif « RGPD friendly » :

  • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés.
  • Amazon Macie utilise le machine learning pour surveiller et protéger les données stockées dans Amazon S3.
  • Amazon Inspector est un service d’évaluation de la sécurité automatisée. Il permet de renforcer la sécurité et la conformité de vos applications déployées sur AWS.
  • AWS Config Rules est un service de monitoring. Il vérifie la conformité des ressources cloud aux règles de sécurité.

Enfin, si vous souhaitez aller encore plus loin sur ce sujet, AWS a publié un livre blanc intitulé « Navigating GDPR Compliance on AWS ». Cet ouvrage explique comment adapter les exigences du RGPD à chaque service AWS, avec un focus sur ceux concernant le monitoring, l’accès aux données, et la gestion des clefs.

En tant que décideurs, chef de projet ou DSI, si vous souhaitez savoir si vous être en règle avec le RGPD ou bien vous mettre en conformité, n’hésitez pas à contacter l’équipe de premaccess. Experte AWS, elle vous conseillera et vous proposera un accompagnement sur-mesure adapté à vos besoins.

Pour aller + loin :

FAQ à propos de la conformité AWS au RGPD

Tous les services d’AWS sont-ils conformes au RGPD ?

OUI. Amazon Web Services certifie que l’ensemble de ses services et fonctionnalités disponibles respectent les normes les plus élevées en matière de confidentialité et de protection des données personnelles imposées par le RGPD. AWS souhaitait se mettre en conformité avec le Règlement deux mois avant son entrée en vigueur, le 25 mai 2018, afin d’offrir, tant à ses clients qu’à ses partenaires, un environnement dans lequel ils peuvent développer leurs propres produits, services et solutions conformes au RGPD.

Quels sont les conseils d’AWS pour réussir sa conformité au RGPD

1. Impliquer les dirigeants
2. Centraliser les efforts de mise en conformité au RGPD
3. Travailler en direct avec l’équipe juridique et  direction technique
4. Penser avant tout à protéger les personnes
Pour en savoir +

Confinement oblige, de nombreuses entreprises ont désormais recours au télétravail. Mais dans l’urgence de la crise du Covid-19, avez-vous tout mis en oeuvre pour optimiser le travail de vos collaborateurs et protéger les données de votre organisation ? 

Mal préparé, vous risquez d’augmenter vos risques face à la cyber malveillance. Ces attaques peuvent prendre plusieurs formes. Il peut s’agir de :

  • Phishing (hameçonnage) : vol de données confidentielles (mot de passe, informations bancaires, etc.)
  • Ransomware : attaque avec un logiciel informatique malveillant prenant en otage les données d’une organisation. Le ransomware chiffre et bloque l’ensemble des fichiers de l’entreprise. Suite à cette attaque, le hacker demande alors une rançon en échange d’une clé permettant de les déchiffrer à nouveau.
  • Vol de données directement sur le réseau d’entreprise suite à une introduction malveillante.
  • Faux ordre de virement (FOVI) : via cette escroquerie – parfois appelée « escroquerie au président » – les malfaiteurs incitent, par la tromperie, des employés d’une société à leur transférer de l’argent en se faisant passer pour le dirigeant. 

Lors de l’appel au confinement total en France, le 17 mars dernier, le niveau de préparation au télétravail était très variable d’une entreprise à une autre. Aussi, pour vous aider à préserver votre système d’information de toute cyberattaque, voici plusieurs conseils. Ils sont à destination tant des employeurs que des télétravailleurs.

Employeurs, pensez VPN et sauvegardes

  1. En premier lieu, déployez, autant que possible auprès de vos collaborateurs, du matériel interne sécurisé. Lors de cette période de confinement, tous peuvent être amenés à travailler avec leur équipement personnel. Or, rien ne nous garantit le niveau de sécurité de ces outils destinés d’ordinaire à des fins personnelles (réseaux sociaux, streaming, etc.).
  1. Limitez l’accès à vos données vers l’extérieur : pour cela, accordez cet accès à un nombre restreint de collaborateurs ou services indispensables.
  1. Utilisez un VPN (Virtual Private Network ou « réseau privé virtuel ») pour permettre à vos salariés d’accéder à votre infrastructure depuis l’extérieur. Un VPN chiffre les connexions externes, et renforce la sécurité de votre système en n’autorisant l’accès qu’aux équipements authentifiés. 
  1. Pensez à mettre à jour régulièrement vos équipements fixes et mobiles mis à disposition de vos salariés. Ces mises à jour sont nécessaires, voire indispensables, car, en leur absence, les hackers peuvent accéder à vos données via des failles de sécurité.
  1. Effectuez régulièrement deux sauvegardes de l’ensemble de vos données : d’abord sur un hébergement externe (Cloud), puis en second temps sur un support déconnecté de votre réseau (type disque dur externe protégé d’un mot de passe).
  1. Dotez vos équipements d’antivirus professionnels. Il en existe plusieurs (Bitdefender, Avast Business, etc.). En fonction de votre parc informatique, il doit être capable de prendre en charge les environnements Windows ou Linux, ou bien les deux. Il doit être sans cesse à jour des menaces existantes, et proposer une protection contre les menaces les plus récurrentes (virus, cryptomining…).
  1. Surveillez l’activité liée aux accès externes à votre système. Et ce, afin de détecter toutes activités anormales et toutes connexions suspectes qui pourraient être signe de cyberattaque.

Salariés, voici comment maximiser vos conditions de télétravail

  1. Optimisez la diffusion du réseau Wifi dans votre domicile. Pour cela, l’Arcep (Autorité de régulation des communications) recommande de placer votre box dans une pièce centrale de votre habitation, dans un endroit dégagé, et d’éviter de poser à proximité tous autres équipements sans fil (type téléphone).
  1. Si vous disposez de la fibre, sur votre box, vous pouvez dédier un réseau Wifi à votre poste de travail. En effet, les box utilisées avec la fibre disposent de deux réseaux Wifi indépendants. Selon l’Arcep, vous pouvez en dédier un pour le VPN de votre employeur, et le second pour les loisirs de votre famille. Ainsi, vous ne subirez pas un ralentissement de réseau si l’un de vos enfants lance de la vidéo en streaming pendant que vous travaillez. 

  1. Autre solution si le réseau Wifi ralentit car vous êtes nombreux à y être connectés à votre domicile : branchez votre ordinateur à la box grâce à un câble Ethernet.
  1. Côté sécurité, avant de vous connecter à des données sensibles de votre entreprise, pensez à vérifier que votre accès Wifi est sécurisé d’un mot de passe fort, comprenant majuscules, minuscules, chiffres et caractères spéciaux.
  1. Enfin, pour ne pas saturer le VPN de votre entreprise, optez pour les outils collaboratifs pour travailler à distance avec vos collègues. Des plateformes comme Office 365 ou G Suite vous permettent de travailler à plusieurs sur tout type de document (Word, Excel, PowerPoint, etc.), de communiquer aisément par tchat ou vidéo (Hangout ou Teams), et de partager des documents (OneDrive ou Google Drive). En cette période d’intensification du télétravail, ces outils prouvent une fois de plus leur intérêt et leur efficacité : 
  • ils nous permettent de maintenir une certaine productivité durant le confinement, 
  • ils assurent un niveau d’information commun entre chaque collaborateur, 
  • et ils réduisent les temps d’échanges et de réunions inutiles.

Télétravail et cybersécurité : l’après confinement

Une fois le confinement terminé, il est fort à parier que le télétravail gagnera du terrain dans les entreprises. Jusqu’à présent, contrairement à leurs homologues européens et anglo-saxons, les entreprises françaises réticentes au travail à distance étaient encore nombreuses.

En 2017, seuls 3% des Français avaient recours à cette pratique selon la Dares (Direction de l’animation de la recherche, des études et des statistiques). Ces télétravailleurs étaient majoritairement des cadres. 

Suite à cette crise sanitaire et économique, il est fort probable que de nombreux employeurs vont changer d’avis.

Chez premaccess, la cybersécurité et le travail collaboratif font partie de notre ADN. Si vous souhaitez être conseillé et accompagné sur ces sujets, n’hésitez pas à nous contacter

Quelle que soit la taille de votre société, la garantie de votre propriété intellectuelle est essentielle. Nos équipes mènent régulièrement des missions d’audit en cybersécurité au sein d’entreprises. Objectif : analyser vos process, les postes de travail, les mots de passe utilisés, etc. afin d’évaluer votre maturité en cybersécurité, mettre en place les outils utiles, et sécuriser toujours plus ce qui fait la force de votre structure, vos compétences et votre savoir-faire. 

Aller plus loin : 

Article Premaccess = Comment teletravailler efficacement et s’organiser en equipe en ces temps de confinement

Premaccess  = découvrir notre accompagnement avec notre équipe consulting

Les éditeurs d’applications SaaS le savent bien : les infrastructures fixes, appelées single-tenant, sont faciles à déployer mais ont leurs limites notamment en terme de maintenance. C’est pourquoi nous vous conseillons vivement de passer au multi-tenant. Nombre d’entre vous hésitent à franchir le pas.
Votre crainte : que les données de vos clients ne soient pas sécurisées.
Pourtant, sur AWS, cela est possible grâce à l’alliance de trois microservices : Cognito, IAM et DynamoDB. 

Après avoir expliqué ce qu’est une architecture multi-tenant, nous vous présentons comment utiliser ces trois services sur AWS pour la mettre en œuvre.

Qu’est-ce qu’une infrastructure multi-tenant ?

Avant d’aller plus loin, expliquons le terme « Tenant » : en anglais, il signifie « Locataire », « Client ». Chaque client rassemblant un « groupe d’utilisateurs ».

Modèle single-tenant

Dans une architecture single-tenant, une seule application est utilisée par plusieurs clients, mais chacun a sa propre version de l’application installée dans une instance dédiée. 

Ce modèle a plusieurs avantages :

  • Séparation franche entre chaque client, et donc entre chaque version de l’application.
  • Les données du client A ne sont pas mélangées avec celles du client B.
  • Chaque client possède sa propre base de données et son propre serveur d’application.
single-tenant : chaque client à sa propre infrastructure

single-tenant : chaque client à sa propre infrastructure.

Mais, très vite, il peut être compliqué à administrer. En effet :

  • Plus les clients vont être nombreux, plus il est difficile de gérer les différentes versions de l’application sur chaque infrastructure.
  • Le coût fixe pour chaque infrastructure peut être pénalisant pour les clients à faible trafic.
  • À partir de 100 clients, il est impératif d’automatiser la gestion des infrastructures, notamment avec des solutions comme BAM*.
  • À partir de 1 000 clients, ce n’est pratiquement plus gérable.

Modèle multi-tenant

À la différence, dans une architecture multi-tenant, une seule instance d’application va servir à plusieurs clients. Les ressources (et notamment les bases de données) y sont mutualisées. 

multi-tenant : une infrastructure pour plusieurs clients

multi-tenant : une infrastructure pour plusieurs clients.

Avec une seule infrastructure globale, au lieu d’une par client :

  • Il est plus facile d’en assurer la maintenance : lorsqu’une modification est apportée à un fichier, elle profite à tous les clients. Les mises à jour sont plus simples à assurer.
  • Vous réduisez vos coûts d’utilisation sur le cloud.
  • Les temps de réponse sont bien plus rapides.
  • La gestion des clients est simplifiée, qu’ils soient au nombre de 10 ou 10 000. 

En contrepartie, comme les données des clients sont mélangées, il faut que le logiciel soit développé pour séparer de manière logique les données des clients. Nous verrons plus loin que les technologies intégrées à AWS permettent de résoudre cette difficulté facilement. 

Modèle hybride

Il existe aussi une approche hybride qui permet d’optimiser son infrastructure sans avoir à faire beaucoup de modifications dans son application.

Approche hybride : mutualisation de l'application avec plusieurs bases de données dans la même instance

Approche hybride : mutualisation de l’application avec plusieurs bases de données dans la même instance.

Dans une approche hybride, seule l’application est mutualisée. Dans ce cas, chaque client dispose d’une base de données dédiée dans la même instance, ainsi que d’un login et d’un mot de passe.  Cette solution a l’avantage d’être facile à mettre en œuvre tout en commençant à faire des économies d’échelles sur les coûts d’infrastructures.

Comment faire du multi-tenant avec AWS ?

Lors de la création d’une architecture multi-tenant, l’enjeu crucial est, bien sûr, de sécuriser les datas afin qu’elles ne soient pas accessibles par tous.

Les développeurs d’applications SaaS doivent être en mesure d’identifier un utilisateur, de relier une donnée à son locataire, mais également un utilisateur à son locataire, et de savoir quels droits ont été concédés à tel ou tel user. 

Pour cela, sur le cloud d’AWS, nous vous conseillons d’associer les services DynamoDB, Cognito et IAM.

Organisez vos bases de données avec DynamoDB

Dans DynamoDB, chaque table, présente dans votre base de données, doit avoir une colonne permettant de stocker une référence au Tenant. En règle générale, il s’agit d’un identifiant client (organizationId). 

DynamoDB Dans cet exemple, la colonne “OrganizationId” permet de stocker la référence au Tenant

Dans cet exemple, la colonne “OrganizationId” permet de stocker la référence au Tenant.

Créez vos utilisateurs

En parallèle de cette gestion des tables, Amazon Cognito vous permet d’ajouter des utilisateurs à vos applications SaaS. Dans une infrastructure multi-tenant, ce service va lister les différents clients (et donc leurs utilisateurs et leurs groupes) ainsi que leurs identifiants. Par ailleurs, il va associer des attributs personnalisés à chaque utilisateur en fonction du locataire auquel il est lié afin de sécuriser son authentification, et gérer ses autorisations.

De plus, AWS gère pour vous toute la sécurité et la connexion. Tous les derniers standards, notamment les authentifications à multiples facteurs, sont disponibles sans développement de votre part.

Chaque utilisateur est membre d’un groupe. Vous pouvez ainsi gérer les accès aux données de manière fine en fonction des groupes.

Définissez des règles de sécurité

Enfin, avec IAM (Identity and Access Management), vous allez définir les règles de sécurité (polices) associées à chaque groupe. Grâce à ces règles, des filtres (LeadingKey) seront créés dans la base de données DynamoDB. Ainsi, l’utilisateur accédera exclusivement à la donnée liée au filtre. Il sera dans l’incapacité de voir le reste, comme s’il était dans une enclave dédiée.

IAM Dans cet exemple, les règles limitent aux personnes membres du groupe l’accès aux données ayant comme clé d’accès le code du client.

Dans cet exemple, les règles limitent aux personnes membres du groupe l’accès aux données ayant comme clé d’accès le code du client.

Conclusion

Entre le single-tenant et le multi-tenant, nous vous conseillons de choisir le second modèle d’infrastructure car il présente des atouts considérables : maintenance facilitée, frais allégés, gestion des clients simplifiée…

Par ailleurs, grâce à l’association des trois services d’AWS (DynamoDB, Cognito et IAM), la sécurité des données y est garantie. Et la gestion des droits d’accès aux données des clients n’est pas à faire par le développeur dans son code. Elle est gérée de manière séparée avec AWS. Cela présente plusieurs avantages :

  • La gestion du multi-tenant est indépendante du reste du code.
  • Plus généralement, la gestion du contrôle d’accès aux données est ainsi indépendante du code de l’application SaaS.
  • Il est possible d’utiliser d’autres services pour réaliser des statistiques sur les données par clients, avec QuickSight notamment.

* BAM (Build Automation Machine) est une solution innovante créée par premaccess. Elle permet d’automatiser la gestion et le cycle de vie de vos infrastructures et leur déploiement chez AWS. 

Aller plus loin :

Article AWS : https://aws.amazon.com/fr/partners/saas-factory/tenant-isolation/

Nos services : https://www.premaccess.com/#services

Premaccess  = Contactez notre équipe d’experts pour vos Services Managés Cloud

Développement  = Découvrir notre accompagnement pour vos développements SaaS ou Logiciel

UTILISER LE CLOUD PUBLIC NOUS AMÈNE LÉGITIMEMENT À S’INTERROGER SUR LA CONFORMITÉ AVEC LES EXIGENCES DE SÉCURITÉ DES ENTREPRISES ET DES RÉGLEMENTATIONS.

Les sujets de sécurité AWS sont globalement les mêmes que pour une infrastructure on-premise, mais nécessite une analyse spécifique liée aux particularités techniques et organisationnelles du Cloud, et aussi à la puissance des outils proposés par AWS.

En s’appuyant sur un modèle de responsabilité partagée, AWS prend en charge la sécurisation des couches basses et de l’infrastructure, et fournit à ses clients les outils permettant de sécuriser leurs applications et données. Ainsi, il appartient à chaque entreprise utilisant le cloud AWS d’optimiser la sécurité de sa plateforme et de ses applications.

Pour ce faire, différentes ressources proposées par AWS doivent être mises en oeuvre selon les besoins et contraintes de chacun. 

DÉCOUVREZ 7 CLÉS PRINCIPALES À ACTIVER POUR BOOSTER LA SÉCURITÉ DE VOTRE CLOUD AWS.

SÉCURITÉ AWS #1 METTRE EN OEUVRE DES POLITIQUES  DE SÉCURITÉ SUR TOUT LE PÉRIMÈTRE

Le premier principe pour assurer une plus grande sécurité est le périmètre d’action : il est primordial de sécuriser l’environnement de toutes les couches et de s’assurer que cela est le cas en profondeur avec différents contrôles de sécurité (par exemple, réseau de périphérie, VPC, sous-réseau, équilibreur de charge, chaque instance, système d’exploitation et applications). L’erreur la plus commune serait de se concentrer exclusivement sur la couche la plus externe. 

Tous les services AWS implémentent des mécanismes de sécurité qui leurs sont propres, en s’appuyant sur une structure et des outils communs (Policies IAM notamment).

La création de ces architectures sécurisées, notamment l’implémentation de la sécurité, peut et doit être gérée en tant que code dans des modèles versionnés et contrôlés. Ceci permet de garantir la traçabilité des changements et faciliter les éventuels retours arrières (rollbacks). 

SÉCURITÉ AWS #2 AUTOMATISER LES AUDITS

Il est important d’auditer régulièrement la conformité des configurations de vos ressources AWS. Cela permet de surveiller et de contrôler les paramètres qui sont sous votre responsabilité (cf introduction). Il faut donc vérifier que vous disposez des bonnes configurations des services et applications par rapport à vos souhaits et à vos directives internes de conformité. 

Compte tenu du nombre important d’états et de paramètres à contrôler, il est fortement recommandé d’automatiser la vérification de la conformité avec les “bonnes pratiques” de sécurité : ces audits de sécurité automatisés améliorent votre capacité à évoluer en toute sécurité, plus rapidement et à moindre coût. Vous êtes alors en mesure d’identifier l’origine de la faille de sécurité et de la corriger rapidement. 

Préparez-vous aux incidents et brèches de sécurité: par exemple en ayant un processus de gestion des incidents avec différents scénarios selon leur criticité correspondant aux exigences de votre organisation. Exécutez des simulations de réponse aux incidents et utilisez des outils pour augmenter votre vitesse de détection, d’investigation et de récupération.

En complément, l’outil AWS Config permet d’enregistrer et d’évaluer les configurations de vos ressources et leurs évolutions. Il est également possible de mettre en place une surveillance continue et une évaluation automatique. Ce service apporte un historique des modifications, une analyse de la sécurité ainsi qu’un diagnostic des défaillances opérationnelles.

SÉCURITÉ AWS #3 RESTREINDRE LES ACCÈS

L’erreur est humaine et, par conséquent, il est recommandé de limiter au maximum les accès aux données. Créez des mécanismes et des outils pour réduire ou éliminer le besoin d’un accès direct ou d’un traitement manuel des données. Cela réduit considérablement les risques de perte ou de modification et d’erreur humaine lors du traitement de données sensibles.

Selon les utilisations, il est pertinent que votre entreprise mette en service différents comptes AWS, ou différents Virtual Private Cloud pour cloisonner les données. Ce cloisonnement permet de définir de nouvelles configurations, telles que des options de connectivité différentes selon les sections concernées. De plus, cette segmentation permet de mettre en place des niveaux de sécurité variés selon la confidentialité et la sensibilité des données impliquées.

Chaque Virtual Private Cloud (VPC) peut être configuré selon vos souhaits : incluant des subnets public ou privé, avec ou sans accès à internet, avec une détermination des couches de sécurité, … 

Ces VPC peuvent être facilement reliés de façon robuste et sécurisée avec les réseaux ou datacenter on premise.

L’utilisation de multiples comptes AWS est également un moyen d’améliorer la sécurité, en donnant des droits particuliers aux administrateurs dans chacun des comptes, et en faisant par exemple en sorte que les traces (cf paragraphe #6) ne puissent être accédés et surtout purgées que par un nombre très restreint de personnes.

SÉCURITÉ AWS #4 GÉRER LES IDENTITÉS D’ACCÈS AU CLOUD ET AUX APPLICATIONS

AWS permet de mettre en place des règles strictes et robustes concernant la gestion des identités :

Appliquez le principe de droits minimum et suffisants,

Imposez la séparation de la réalisation des tâches avec l’autorisation appropriée pour chaque interaction avec vos ressources AWS, 

Centralisez la gestion des autorisations,

Réduisez et, si possible, éliminez la dépendance vis-à-vis des informations d’identification à long terme.

Lors du déploiement d’une architecture sur AWS, votre entreprise doit chercher à optimiser la sécurité des données en contrôlant ses accès. En effet, des droits différents sont à établir selon plusieurs catégories d’utilisateurs. Tous n’ayant pas les mêmes besoins, ils ne doivent pas avoir les mêmes accès à l’infrastructure. 

Les fonctionnalités d’AWS Identity and Access Management (IAM) permettent de restreindre les accès pour différents groupes. Certaines personnes ont uniquement besoin d’autorisations de lecture. D’autres doivent pouvoir déployer des machines virtuelles ou d’accéder à des fonctionnalités avancées. Les applications ont également besoin d’avoir des droits pour accéder aux données.  IAM permet également de déléguer l’authentification à un annuaire d’entreprise de façon à consolider la gestion des autorisations, et limiter mécaniquement les risques d’inconsistance et d’erreur.

Par ailleurs, AWS Cognito permet de gérer de façon industrielle les utilisateurs des applications mobiles. Et AWS propose aussi une implémentation managée des annuaires standards de l’industrie.

Avec une migration vers le cloud AWS, il est possible d’octroyer des identités selon chaque utilisateur ou application afin de maintenir un niveau de sécurité maximal.

SÉCURITÉ AWS #5 CHIFFRER LES DONNÉES ET MAÎTRISER LES CLÉS DE CHIFFREMENT

Il est indispensable de protéger les données en transit et au repos : après avoir classé vos données en fonction de leur confidentialité, il est nécessaire de mettre en oeuvre les mécanismes tels que le chiffrement, la tokenisation et le contrôle d’accès, le cas échéant.

Pour optimiser la sécurité des données du cloud AWS, il est impératif de mettre en place une gestion des clés en conformité avec les besoins ou la réglementation. Les bonnes pratiques intègrent notamment la détermination de la rotation des clés, la restriction des utilisateurs y ayant accès et une veille de leur utilisation.

Le service AWS Key Management Service (KMS) permet de créer et de gérer les clés. Il est totalement géré, vous permettant de vous attacher au chiffrement de vos données stockées. Vous pouvez facilement en faire une rotation automatique, les importer depuis votre propre infrastructure, déterminer les conditions d’utilisation ou encore suivre leur activité. Les clés ne peuvent en aucun cas être récupérées en texte simple pour en garantir la totale sécurité. Elles peuvent être désactivées provisoirement ou supprimées selon les besoins.

Par la suite, ces clés permettent de chiffrer les données de 52 services AWS, parmi lesquels nous retrouvons évidemment les données des serveurs et des bases de données managées.

SÉCURITÉ AWS #6 TRACER L’ACTIVITÉ SUR LE CLOUD

Activez la traçabilité : surveillez, alertez et auditez les actions et les modifications apportées à votre environnement en temps réel. Intégrez les métriques aux systèmes pour répondre et prendre des mesures automatiquement.

Pour protéger votre cloud AWS, il est important d’établir un suivi de l’activité des utilisateurs et de l’usage des applications. La gestion des risques ainsi que les garanties de conformité sont des missions centrales pour l’ensemble de votre réseau. Il est nécessaire de pouvoir détecter les menaces sur la sécurité de votre infrastructure en identifiant les vulnérabilités.

AWS CloudTrail est le service de suivi en continu des actions réalisées sur votre infrastructure. Il présente un historique des événements de votre compte AWS, ce qui va simplifier les audits de conformité. L’ensemble de l’activité est enregistré permettant d’identifier les problèmes dans l’historique des modifications. Avec Amazon CloudWatch Events, la détection des fragilités est facilitée avec l’aide de workflows.

SÉCURITÉ AWS #7 DÉTECTER LES MENACES & SÉCURITÉ DES APPLICATIONS

La détection des menaces est une démarche de prévention permettant de réagir rapidement à des actions hostiles externes, et de mettre en place des contre-mesures rendant des actions inopérantes.

Cette détection doit couvrir le périmètre technique et aussi les applications qui sont également concernées par l’exposition de failles.

AWS propose 5 services permettant de mettre en place des mécanismes de prévention, dont le point commun est de nécessiter un temps de mise en oeuvre extrêmement réduit. Ceci a été rendu possible notamment par la mise en place de l’algorithme de machine learning couplé avec un flux de veille pour identifier les signatures d’attaques infrastructure (AWS GuardDuty) ou applicatives (AWS Inspector), ou pour l’identification des objets contenant des données soumises à une réglementation particulière (AWS Macie). En complément, AWS WAF permet de restreindre les accès aux applications en appliquant un filtrage qui leur sont spécifique et AWS Shield protège des attaques DDOS.

FAITES VOUS ACCOMPAGNER PAR DES EXPERTS AWS !

La sécurité est un sujet complexe et ne doit pas être pris à la légère, il est souvent nécessaire de se faire accompagner par des structures dont cela est le métier et le domaine d’expertise. 

Avec ces 7 conseils décisifs, vous êtes en mesure d’améliorer efficacement la sécurité des données de votre cloud AWS. N’omettez pas, cependant, d’inscrire ces activités dans une pratique et une mise à jour régulière de long terme pour capitaliser pleinement sur tous leurs bénéfices. 

Ressources : 

Article AWS = Qu’est-ce que le cloud computing ?

Premaccess  = Contactez notre équipe de consultants sécurité

Développement  = Découvrir notre accompagnement pour vos développements SaaS ou Logiciel