Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Centre canadien pour la cybersécurité - Profil de contrôle de cloud Medium
AWS Audit Manager fournit un framework standard prédéfini qui structure et automatise les évaluations pour le Centre canadien pour la cybersécurité.
Rubriques
Qu’est-ce que le Centre canadien pour la cybersécurité ?
Le Centre canadien pour la cybersécurité (CCCS) est la source officielle du Canada en matière de conseils, de services et de soutien d’experts en cybersécurité. Le CCCS fournit cette expertise aux gouvernements canadiens, à l’industrie et au grand public. Les organisations du secteur public canadien à travers le pays s’appuient sur ses évaluations rigoureuses des fournisseurs de services cloud pour prendre des décisions éclairées en matière d’approvisionnement en cloud.
Le profil de contrôle du cloud Medium du CCCS a remplacé le profil PROTECTED B/Medium Integrity/Medium Availability (PBMM) du gouvernement canadien en mai 2020. Le profil de contrôle de sécurité du cloud Medium du CCCS convient si votre organisation utilise des services de cloud public pour soutenir ses activités commerciales avec des exigences de confidentialité, d’intégrité et de disponibilité (AIC) medium. Les charges de travail soumises à des exigences AIC Medium signifient que la divulgation, la modification ou la perte d’accès non autorisées aux informations ou aux services utilisés par l’activité commerciale peuvent raisonnablement porter un préjudice grave à une personne ou à une organisation ou un préjudice limité à un groupe de personnes. Voici des exemples de ces niveaux de préjudices :
-
Effet significatif sur le bénéfice annuel
-
Perte des comptes principaux
-
Perte de clientèle
-
Violation claire de conformité
-
Violation de la vie privée de centaines ou de milliers de personnes
-
Impacte la performance d’un programme
-
Cause un trouble mental ou une maladie mentale
-
Sabotage
-
Atteinte à la réputation
-
Difficultés financières individuelles
Utiliser ce framework pour faciliter la préparation de votre audit
Vous pouvez utiliser le framework AWS Audit Manager du Profil de contrôle de cloud Medium pour vous aider à vous préparer aux audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces contrôles sont regroupés en ensembles de contrôles conformément aux exigences du CCCS. Vous pouvez également personnaliser ce framework et ses contrôles pour prendre en charge les audits internes répondant à des exigences spécifiques.
En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des preuves pertinentes pour votre audit de Profil de contrôle de cloud Medium CCCS. Dans votre évaluation, vous pouvez spécifier les Comptes AWS et services que vous souhaitez inclure dans le périmètre de votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer vos ressources AWS. Pour ce faire, il se base sur les contrôles définis dans le framework Profil de contrôle de cloud Medium CCCS. Au moment d’effectuer un audit, vous (ou le délégué de votre choix) pouvez examiner les preuves collectées par Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l’outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter au format CSV, ou créer un rapport d’évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.
Les détails du framework sont les suivants :
| Nom du framework dans AWS Audit Manager | Nombre de contrôles automatisés | Nombre de contrôles manuels | Nombre d’ensembles de contrôles | Services AWS dans le champ d’application |
|---|---|---|---|---|
| Centre canadien pour la cybersécurité - Medium | 206 | 396 | 165 |
|
Astuce
Pour consulter les règles AWS Config utilisées comme mappages de sources de données dans ce framework standard, téléchargez le fichier AuditManager_ConfigDataSourceMappings_CanadianCentreforCyberSecurity-Medium.zip.
Les contrôles de ce AWS Audit Manager framework ne sont pas destinés à vérifier si vos systèmes sont conformes Profil de contrôle de cloud Medium CCCS. De plus, ils ne peuvent garantir que vous passerez un audit CCCS. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle de preuves.
Vous trouverez ce framework sous l’onglet Frameworks standard de Bibliothèque de frameworks dans Audit Manager.
Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d’une évaluation.
Lorsque vous utilisez la console Audit Manager pour créer une évaluation à partir de ce framework standard, la liste des Services AWS concernés est sélectionnée par défaut et ne peut être modifiée. En effet, Audit Manager mappe et sélectionne automatiquement les sources de données et les services pour vous. Cette sélection est faite selon les exigences du Centre canadien pour la cybersécurité - Framework Medium. Si vous devez modifier la liste des services concernés par ce framework, vous pouvez le faire à l’aide des opérations de l’API CreateAssessment ou UpdateAssessment. Vous pouvez également personnaliser le framework standard, puis créer une évaluation à partir du framework personnalisé.
Pour obtenir des instructions sur la façon de personnaliser ce framework afin de répondre à vos besoins spécifiques, voir Personnalisation d’un framework existant et Personnalisation d’un contrôle existant.
